2022年3月CCAA國家注冊ITSMS信息技術服務管理基礎審核員復習題一、單項選擇題1、根據《互聯(lián)網信息服務管理辦法》的要求，對于“散布謠言，擾亂社會秩序，破壞社會穩(wěn)定的”由()責令改正。A、公安機關B、備案機關C、省自治區(qū)、直轄市電信管理機構D、發(fā)證機關2、在發(fā)布部署運行環(huán)境中之前，應建立受影響配置項的A、文件B、目錄C、備份D、基線3、ITIL和ISO/IEC20000之間有何關系?()A、ITIL基于ISO/IEC20000B、ITIL為IT服務管理提供最佳實踐建議，而ISO/IEC20000則定義了IT服務管理的標準C、ITIL是ISO/IEC20000第1和2部分的子集D、ITIL和ISO/IEC20000相互兼容并適用于服務管理系統(tǒng)的不同部分4、根據ISOIEC0000-1:2018標準的要求，對“問題和事件之間關系”的描述，正確的是()。A、在目標時間內未能解決的事件將被轉到問題管理B、單個事件永遠不會造成某個問題記錄被打開C、始終會導致某個問題記錄被打開D、一個或多個實際或潛在事件的原因，就是問題5、根據ISO/IECTR20000-4標準，業(yè)務關系管理過程的結果是()。A、計劃和實施與客戶的溝通B、確定客戶和利害相關方C、其他選項均正確D、識別和監(jiān)控客戶的需求和期望6、關于涉密信息系統(tǒng)的管理，以下說法不正確的是A、涉密計算機未經安全技術處理不得改作其他用途B、涉密計算機、存儲設備不得接入互聯(lián)網及其他公共信息網絡C、涉密信息系統(tǒng)中的安全技術程序和管理程序不得擅自卸載D、涉密計算機只有采取了適當防護措施才可接入互聯(lián)網7、《信息安全技術信息技術信息安全事件分類分級指南》中災害性事件是由于()對信息系統(tǒng)物理破壞而導致的信息安全事件。A、網絡攻擊B、不可抗力C、自然災害D、人為因素8、()主要指的是硬件設備。比如是計算機、交換機、路由器、防火墻、機架、因特網、局域網、存儲設備、主要用到的技術包括虛擬主機技術，操作系統(tǒng)以及各種硬件管理技術。A、IaaSB、SaaSC、MSPD、PaaS9、《中華人民共和國認證認可條例》要求，認證機構及其認證人員對()負責。A、審核發(fā)現(xiàn)B、審核證據C、認證結果D、認證結論10、根據ISO/IEC20000-1:2018標準的要求，服務連續(xù)性管理中的恢復時間目標是指()。A、關鍵服務到約定的最低可用性水平的時間B、IT務恢復到約定的可用性水平的時間C、基礎約定可行水平的時間D、IT務恢復到約定的最低可用性水平的時間。11、()是不確定性對目標的影響。A、風險評估B、風險C、不符合D、風險處置12、《計算機信息系統(tǒng)安全保護條例》規(guī)定:對計算機信息系統(tǒng)中發(fā)生的案件，有關使用單位應當在（）小時內向當地縣級以上人民政府公安機關報告。A、8小時內B、12小時內C、24小時內D、48小時內13、組織應定義所有事件的記錄、優(yōu)先次序、業(yè)務影響、分類、更新、升級、解決和()。A、報告B、溝通C、回復顧客D、正式關閉14、根據ISO/IEC20000-1:2018標準的要求，持續(xù)服務改進的目標是()。A、為提高管理服務過程效率所采取的鑒定活動B、在不犧牲顧客滿意度的情況下提高IT務的成本效益C、持續(xù)改進SMS服務的適宜性、充分性和有效性，以維護客戶和相關方的價值D、在用戶同意的水平上交付和管理服務的生產活動15、組織的外部供應商包括指定的主供應商，不包括主供應商的()。A、內部供應商B、作為供應商的客戶C、供應商D、分包商16、π服務管理是()保證IT服務提供的質量。A、通過將內部和外部的客戶與提供商之間的協(xié)定記錄記錄到正式的文檔中B、通過在I組織的所有員工中推行客戶導向模式C、通過訂立通用的可接受的服務級別標準D、旨在規(guī)定建立、實施、維持和持續(xù)改進SMS的要求17、ISO/IEC20000-3是()。A、服務管理要求B、服務管理范圍指南C、服務管理指南D、服務管理范圍要求18、闡明所取得的結果或提供所完成活動的證據的是文件是()。A、報告B、記錄C、演示D、協(xié)議19、關于ISO/IEC20000標準，以下說法正確的是()。A、ISO/IEC20000-2為審計實現(xiàn)提供指南B、ISO/IEC20000-2為變更管理、事件管理等管理流程的具體實現(xiàn)提供指南C、ISO/IEC20000-2為ISO/IEC20000-1提供實施服務管理體系指南D、ISO/IEC20000-1是ISO/IEC20000-2的應用指南20、目前可以作為信息技術服務管理體系審核依據的標準是A、ISO/IEC20000-1:2018B、ISO/IEC20000-2:2013C、ISO/IEC20000-1:2013D、ISO/IEC20000-2:201821、考慮不同時段的工作負載的差異收費用于（）。A、故障樹分析(FTA)B、可用性計劃C、服務級別管理D、風險分析和管理法22、國家對計算機信息系統(tǒng)安全專用產品的銷售實行的管理制度是()。A、許可證制度B、備案制度C、申報與審批制度D、測評、認證與審批制度23、()指應當盡可能調查所有與投訴有關的背景和信息A、投訴響應B、投訴終止C、投訴調查D、受理告知24、根據ISO/IEC20000-1:2018標準的要求，對于每一交付的服務，組織應根據文件化的服務要求建立()SLA。A、不同B、一個或多個C、若干D、多個25、建立服務目錄的價值在于()。A、表現(xiàn)變更對業(yè)務的影響B(tài)、展示配置項之間的關系C、對交付的IT服務提供一個集中的信息源D、預測IT基礎架構事務的根本原因26、根據GB/T29264標準，安全運維服務不包括()。A、軟件功能修改完善服務B、安全巡檢服務C、滲透性測試服務D、脆弱性檢查服務27、在建立信息技術服務管理體系時所用的風險評估方法必須()。A、遵循風險評估的國際標準B、使用定性的方法C、使用定量的方法D、選用能夠產生可比較和可再現(xiàn)結果的方法28、根據ISO/IEC20000-1:2018標準的要求，信息安全管理的目的是保護與SMS和服務相關的所有形式的信息()。A、保密性、完整性和可用性B、適宜性、充分性和有效性C、法律合規(guī)性D、技術合規(guī)性29、《中華人民共和國計算機信息系統(tǒng)安全保護條例》所稱的計算機信息系統(tǒng)，是指由計算機及其相關的和配套的設備、設施(含網絡)構成的，按照一定的應用目標和規(guī)則對信息進行采集、()、檢索等處理的人機系統(tǒng)。A、存儲、加工、處置B、存儲、使用、處置C、存儲、傳輸、使用D、加工、存儲、傳輸30、對服務可用性進行監(jiān)視,記錄其結果并與目標進行比較。()不可用應進行調查并采取必要的行動。A、發(fā)生的B、計劃外C、可能發(fā)生的D、計劃內31、根據ISO/IEC20000-1:2018標準的要求，誰需要參與顧客和服務提供方之間的服務評審?()A、除了顧客和其他利益相關方外沒有特定要求B、只有供方和業(yè)務關系過程經理C、只有業(yè)務關系過程經理D、兩個機構的高管層32、以下不屬于網絡安全控制技術的是()。A、防火墻技術B、訪問控制C、差錯控制D、入侵檢測技術33、目前信息技術服務管理體系的認證周期為()。A、2年B、3年C、4年D、根據實際情況確定34、為監(jiān)測過程，控制和減少變異，將樣本統(tǒng)計量序列以特定順序描點繪出，用于分析和判斷過程是否處于穩(wěn)定狀態(tài)的所使用的帶有控制界限的圖，是()。A、直方圖B、控制圖C、散布圖D、排列圖35、管理體系的初次認證審核應分為哪兩個階段實施?A、預審核和監(jiān)督審核B、第一階段和第二階段C、預審核和初次訪問審核D、第一階段和監(jiān)督審核36、根據ISO/IEC20000-1:2018，()不是每個過程都需要定義的部分。A、輸出B、資源C、輸入D、活動37、根據《信息安全等級保護管理辦法》，應加強涉密信息系統(tǒng)運行的保密監(jiān)督檢查。對秘密密級、機密密級信息系統(tǒng)每()至少進行一次保密檢查或系統(tǒng)評測。A、2年B、半年C、1年D、1.5年38、根據GB/Z20986標準，計算機信息系統(tǒng)安全專用產品是指()。A、安裝了專用安全協(xié)議的專用計算機B、按安全加固要求設計的專用計算機C、用于保護計算機信息系統(tǒng)安全的專用硬件和軟件產品D、特定用途(如高保密)專用的計算機軟件和硬件產品39、變更管理策略不要求對()進行定義。A、每周變更日期B、確定可能對客戶和服務產生重大影響變更的判斷標準C、變更管理控制下的服務組件或其他項D、變更類別和如何對其進行管理40、變更請求(RFC)目的是()。A、RFC觸發(fā)變更流程B、RFC記錄由服務申請所產生的變更C、RFC用于申請對服務預算做出變更D、RFC控制變更和發(fā)布和部署流程之間的關系二、多項選擇題41、根據ISOIEC0000-1:2018標準的要求，對于擬轉移的服務，策劃還應包括服務轉移的()的傳遞和交接。A、其他服務B、日期和數據C、文檔、知識D、服務組件42、信息技術服務管理體系的范圍應依據()確定。A、組織的外部和內部事項B、組織所識別的相關的要求C、組織實施的活動之間及其與其他組織實施的活動之間的接口和依賴關系D、ISO/IEC20000-1:2018的標準要求43、下列哪項的變化受變更管理控制（）?A、服務目錄B、SLAC、服務需求D、供方合同44、根據《信息安全等級保護管理辦法》，辦理信息系統(tǒng)安全保護等級備案手續(xù)時，應當填寫《信息系統(tǒng)安全等級保護備案表》，第三級以上信息系統(tǒng)應同時提供以下材料()。A、信息系統(tǒng)安全保護等級專家評審意見B、系統(tǒng)拓撲結構及說明C、系統(tǒng)安全組織結構D、管理制度45、在運行ITSMS，應給予不滿意的投訴者以盡可能多的途徑求助和參與爭議解決過程。包括()。A、電話B、電子郵件C、網上提交D、傳真46、系統(tǒng)安全分析主要包括調查和評價可能出現(xiàn)的初始的、誘發(fā)的和起作用的危害之間的相互關系?？捎糜贗T系統(tǒng)安全風險分析的方法包括()。A、危害分析與關鍵控制點(HACCP)B、攻擊路徑分析法(ATA）C、場景分析法D、失效模式分析法(FMEA）47、內審策劃文件中應包括()A、不符合準則B、審核范圍C、審核頻次和方法D、審核結論48、依據GB/Z20986，信息安全事件分級考慮的要素包括().A、客戶投訴數B、社會影響C、系統(tǒng)損失D、信息系統(tǒng)重要程度49、ISO/IEC200標準中I1服務的預算及核算管理的內容包括哪些?()A、預算編制B、計費C、核算D、采購50、關于信息安全產品的使用，以下說法不正確的是A、對于所有的信息系統(tǒng)，信息安全產品的核心技術、關鍵部件須具有我國自主知識產權B、對于三級以上信息系統(tǒng)，已列入信息安全產品認證目錄的，應取得國家信息安全產品認證機構頒發(fā)的認證證書C、對于四級以上信息系統(tǒng)，信息安全產品研制的主要技術人員須無犯罪記錄D、對于四級以上信息系統(tǒng)，信息安全產品研制單位須聲明沒有故意留有或設置漏洞51、以下關于網絡釣魚的說法中，正確的是（）。A、網絡釣魚是“社會I程攻擊"的一種形式B、網絡釣魚融合了偽裝、欺騙等多種攻擊方式C、網絡釣魚與Web服務沒有關系D、典型的網絡釣魚攻擊都將被攻擊者引誘到一個通過精心設計的釣魚網站上52、ISO/IEC2000-1到-6中哪些是要求類標準A、20000-6B、20000-4C、20000-2D、20000-153、根據ISO/IEC20000-1:2018標準的要求采用SMS是組織的戰(zhàn)略決策，受組織()的影響。A、服務生命周期中涉及的其他各方B、治理C、目標D、服務有效性和韌性54、計算機網絡拓撲結構是指網絡中各個站點相互連接的形式，主要的拓撲結構有()以及他們的混合型。A、星型拓撲B、環(huán)型拓撲C、總線型拓撲D、樹型拓撲55、事件管理中以下哪項不是管理性升級的活動()?A、將一個事件的信息通知更多的高層管理者B、將事件轉給具有更高技術水平的人解決C、為保持顧客滿意使用盡可能多高級專家D、不能滿足SLA中規(guī)定的事件解決時間要求三、判斷題56、《中華人民共和國網絡安全法》中明確，關鍵信息基礎設施的運營者應當自行或者委托網絡安全服務機構對其網絡的安全性和可能存在的風險每兩年至少進行一次檢測評估。57、根據ISO/IEC20000-1:2018標準的要求，該標準僅用于信息技術領域的組織建立SMS。()58、根據GB/T29264標準，呼叫中心服務是運行服務大類中的一個子類。（）59、郵箱服務提供方可定義吞吐量作為閾值指標。60、服務的連續(xù)性計劃應包含服務中斷后恢復到正常工作條件的方法。61、GB/Z20986《信息安全技術信息安全事件分類分級指南》中，對信息安全事件的定義是指由于自然或人為以及軟硬件本身缺陷或故障原因，對信息系統(tǒng)造成危害，或對社會造成負面影響的事件。()62、根據GB/Z20986標準，信息系統(tǒng)的重要程度主要考慮信息系統(tǒng)所承載的業(yè)務對國家安全、經濟建設、社會生活的重要性以及業(yè)務對信息系統(tǒng)的依賴程度，劃分為特別重要信息系統(tǒng)、重要信息系統(tǒng)和一般信息系統(tǒng)。()63、ISO/IEC20000系列標準由ISO/IECJTC1/SC27進行維護。()64、開展信息技術服務管理體系認證必須以正式發(fā)布的國家標準為依據。65、事件報告可以通過電話、語音郵件、訪問、信件、傳真或電子郵件，用戶也可以通過訪問事件記錄系統(tǒng)或自動監(jiān)測軟件直接記錄。()

參考答案一、單項選擇題1、C2、D解析:參考ISO/IEC20000-1:20