本資料由小槳備考整理，僅供學習參考，非官方發(fā)布2023年01月信息技術服務管理體系基礎答案及解析單選題（共40題，共80分）1.ITIL和ISO/IEC20000之間有何關系？（）A.ITIL基于ISO/IEC20000B.ITIL為IT服務管理提供最佳實踐建議，而ISO/IEC20000則定義了IT服務管理的標準C.ITIL是ISO/IEC20000第1和2部分的子集D.ITIL和ISO/IEC20000相互兼容并適用于服務管理系統(tǒng)的不同部分答案：B解析：ITIL（InformationTechnologyInfrastructureLibrary）是一套關于IT服務管理的最佳實踐框架，它提供了關于如何設計、交付、運營和改進IT服務的建議。而ISO/IEC20000則是一個國際標準，定義了IT服務管理的標準，包括服務臺、服務級別管理、可用性管理、容量管理等多個方面。ITIL基于最佳實踐，而ISO/IEC20000則基于標準。因此，ITIL為IT服務管理提供最佳實踐建議，而ISO/IEC20000則定義了IT服務管理的標準，兩者相互補充，共同為IT服務管理提供指導和規(guī)范。因此，選項B“ITIL為IT服務管理提供最佳實踐建議，而ISO/IEC20000則定義了IT服務管理的標準”是正確的。2.根據(jù)ISO/IEC20000-1:2018標準，（）不是每個過程都需要定義的部分。A.輸出B.資源C.輸入D.活動答案：B解析：根據(jù)ISO/IEC20000-1:2018標準，每個過程都需要定義的部分包括輸出、輸入和活動，但資源并不是每個過程都需要定義的部分。因此，正確答案為B，即資源。3.《計算機信息系統(tǒng)安全保護條例》規(guī)定：對計算機信息系統(tǒng)中發(fā)生的案件，有關使用單位應當在（）向當?shù)乜h級以上人民政府公安機關報告。A.8小時內(nèi)B.12小時內(nèi)C.24小時內(nèi)D.48小時內(nèi)答案：C解析：《計算機信息系統(tǒng)安全保護條例》規(guī)定，對計算機信息系統(tǒng)中發(fā)生的案件，有關使用單位應當在24小時內(nèi)向當?shù)乜h級以上人民政府公安機關報告。因此，正確答案為C選項，即24小時內(nèi)。4.（）是不確定性對目標的影響。A.不符合B.風險評估C.風險處理D.風險答案：D解析：風險是不確定性對目標的影響。在題目中，選項A“不符合”顯然與題目不符；選項B“風險評估”是對不確定性的評估，但它不是不確定性對目標的影響；選項C“風險處理”是對風險的應對措施，也不是不確定性對目標的影響。因此，正確答案是D，即“風險”。5.以下選項不屬于信息安全領域的測量和監(jiān)視技術（）。A.單位時間的訪問流量分析B.呼叫中心話術系統(tǒng)監(jiān)聽C.網(wǎng)絡行為管理D.入侵檢測系統(tǒng)答案：B解析：信息安全領域的測量和監(jiān)視技術通常用于監(jiān)控網(wǎng)絡流量、用戶行為、系統(tǒng)活動等，以確保信息的安全性。A選項“單位時間的訪問流量分析”是網(wǎng)絡安全中常見的測量技術，用于分析網(wǎng)絡流量模式，識別異常行為。C選項“網(wǎng)絡行為管理”是監(jiān)視技術，用于監(jiān)控和管理網(wǎng)絡中的用戶行為，確保合規(guī)性。D選項“入侵檢測系統(tǒng)”也是監(jiān)視技術，用于檢測并響應潛在的網(wǎng)絡攻擊。而B選項“呼叫中心話術系統(tǒng)監(jiān)聽”通常與電話營銷或客戶服務相關，不屬于信息安全領域的測量和監(jiān)視技術。因此，正確答案是B。6.管理體系的初次認證審核應分為哪兩個階段實施？（）A.預審核和監(jiān)督審核B.第一階段和第二階段C.預審核和初次訪問審核D.第一階段和監(jiān)督審核答案：B解析：管理體系的初次認證審核通常分為兩個階段實施，即第一階段審核和第二階段審核。這是為了確保審核的全面性和準確性。預審核、初次訪問審核和監(jiān)督審核通常不是管理體系初次認證審核的兩個階段。因此，正確答案是B，即“第一階段和第二階段”。7.《信息安全技術信息安全事件分類分級指南》中將信息內(nèi)容事件分為（）個子類。A.5B.6C.7D.4答案：D解析：《信息安全技術信息安全事件分類分級指南》中將信息內(nèi)容事件分為4個子類，因此正確答案為D。在題目中，選項A、B、C分別給出了5、6、7個子類的選項，均不符合實際情況。因此，正確答案為D。8.云服務商提供IaaS服務，不適于作為服務方配置項的是（）。A.物理網(wǎng)絡設備B.物理存儲設備C.OA應用軟件D.虛擬服務器答案：C解析：本題考察的是對IaaS（基礎設施即服務）服務方配置項的理解。在IaaS服務中，云服務商提供的是基礎設施服務，包括物理網(wǎng)絡設備和物理存儲設備等。這些設備構成了服務的基礎，因此是服務方配置項。而OA應用軟件是應用軟件層的服務，它并不屬于基礎設施服務，因此不適于作為服務方配置項。虛擬服務器是云服務商提供的虛擬資源，也是IaaS服務的一部分，因此是服務方配置項。因此，選項C“OA應用軟件”是不適于作為服務方配置項的答案。9.在發(fā)布部署運行環(huán)境中之前，應建立受影響配置項的（）。A.文件B.目錄C.備份D.基線答案：D解析：在發(fā)布部署運行環(huán)境中之前，應建立受影響配置項的基線?；€是指一組配置項的集合，用于定義和記錄配置項的狀態(tài)和屬性，以便在發(fā)布部署之前對配置項進行管理和控制。建立基線可以確保在發(fā)布部署過程中，配置項的狀態(tài)和屬性不會發(fā)生變化，從而確保部署的準確性和穩(wěn)定性。因此，選項D“基線”是正確的答案。10.《信息系統(tǒng)安全等級保護測評要求》將（）作為實施等級保護的第一項內(nèi)容。A.安全定級B.安全規(guī)劃C.安全評估D.安全實施答案：A解析：《信息系統(tǒng)安全等級保護測評要求》中，安全定級被作為實施等級保護的第一項內(nèi)容。因此，正確選項為A，即“安全定級”。其他選項如安全規(guī)劃、安全評估、安全實施等，雖然也是信息安全保護的重要環(huán)節(jié)，但在等級保護中，首先需要確定系統(tǒng)的安全等級，即進行安全定級。11.目前可以作為信息技術服務管理體系審核依據(jù)的標準是（）。A.ISO/IEC20000-1:2018B.ISO/IEC20000-2:2013C.ISO/IEC20000-1:2013D.ISO/IEC20000-2:2018答案：A解析：根據(jù)題目給出的選項，我們需要確定可以作為信息技術服務管理體系審核依據(jù)的標準。根據(jù)ISO/IEC20000系列標準，我們可以看到，ISO/IEC20000-1:2018是信息技術服務管理（ITSM）標準的主系列，它提供了ITSM的核心框架和原則。而ISO/IEC20000-2:2013和ISO/IEC20000-2:2018似乎沒有列出，可能不是有效的標準編號。ISO/IEC20000-1:2013也是一個過時的版本，不如ISO/IEC20000-1:2018新且更全面。因此，根據(jù)題目給出的選項，我們可以確定，可以作為信息技術服務管理體系審核依據(jù)的標準是ISO/IEC20000-1:2018，即選項A。12.應對服務可用性進行監(jiān)視，記錄其結果并與目標進行比較。（）不可用應進行調(diào)查并采取必要的行動。A.發(fā)生的B.計劃處C.可能發(fā)生的D.計劃內(nèi)答案：B解析：“進行監(jiān)視”是一個持續(xù)性的動作，所以需要一個能夠持續(xù)的狀態(tài)或情境作為賓語，選項中只有“計劃內(nèi)”可以表示一種持續(xù)的狀態(tài)或情境。而“計劃內(nèi)”與“進行監(jiān)視”搭配，表示監(jiān)視是在計劃內(nèi)進行的，符合題意。選項A“發(fā)生的”是一個瞬間性的動作，與“進行監(jiān)視”搭配不合適。選項C“可能發(fā)生的”雖然是一個可能的狀態(tài)，但不如“計劃內(nèi)”表示持續(xù)的狀態(tài)更貼切。選項D“計劃處”語法上存在問題，且與題意不符。因此，正確答案為B，“計劃內(nèi)”。13.建立服務目錄的價值在于（）。A.表現(xiàn)變更對業(yè)務的影響B(tài).展示配置項之間的關系C.對交付的IT服務提供一個集中的信息源D.預測IT基礎架構事務的根本原因答案：C解析：建立服務目錄的價值在于對交付的IT服務提供一個集中的信息源。服務目錄是一個記錄服務信息的重要工具，它提供了關于服務的詳細信息，包括服務定義、服務級別、服務組件、依賴關系等。這些信息對于確保服務的有效交付和持續(xù)可用性至關重要。因此，選項C“對交付的IT服務提供一個集中的信息源”是建立服務目錄的主要價值所在。其他選項如A、B、D雖然都是與服務管理相關的概念，但不是建立服務目錄的直接價值。14.依據(jù)《中華人民共和國網(wǎng)絡安全法》應予以重點保護的信息基礎設施，指的是（）。A.一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施B.一旦遭到破壞、數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生的信息基礎設施C.一旦遭到破壞、數(shù)據(jù)泄露，可能危害國家安全、國計民生的信息基礎設施D.一旦遭到破壞、數(shù)據(jù)泄露，可能危害國家安全、國計民生、公共利益的網(wǎng)絡系統(tǒng)答案：A解析：《中華人民共和國網(wǎng)絡安全法》中明確提到，應予以重點保護的信息基礎設施，指的是“一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施”。因此，選項A“一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施”是正確的。其他選項要么缺少了“喪失功能”這一可能性的描述，要么在危害的程度上描述得不夠準確，所以都不是正確答案。15.組織應進行容量規(guī)劃，包括基于服務需求的（）的容量。A.當前和預測B.時間閾值C.時間尺度D.以往答案：A解析：在進行組織容量規(guī)劃時，我們需要考慮基于服務需求的當前和預測的容量。這意味著我們需要評估當前的服務需求，并預測未來可能的服務需求，以確保我們的容量規(guī)劃能夠滿足這些需求。選項A中的“當前和預測”符合這一需求。因此，答案為A。16.ISO/IEC20000-3是（）。A.服務管理要求B.服務管理范圍指南C.服務管理指南D.服務管理范圍要求答案：B解析：ISO/IEC20000-3是服務管理范圍指南。ISO/IEC20000系列標準是一套關于IT服務管理的國際標準，其中ISO/IEC20000-1是服務管理的基礎，ISO/IEC20000-2是服務管理實踐，而ISO/IEC20000-3則是服務管理范圍指南，它提供了關于服務管理范圍、服務級別管理、服務報告等方面的指南。因此，選項B“服務管理范圍指南”是正確的答案。17.ISO/IEC20000標準的第2部分與第1部分有何關聯(lián)？（）A.第1部分是第2部分的子集B.第1部分包括第2部分中規(guī)定的主要要求C.第2部分需要完全實現(xiàn)才能滿足第1部分的要求D.第2部分包含滿足第1部分要求的指導答案：D解析：ISO/IEC20000標準是一個關于IT服務管理的標準，它分為第1部分和第2部分。第1部分定義了IT服務管理的核心概念和框架，包括服務管理生命周期、服務管理過程等。第2部分則提供了滿足第1部分要求的詳細指導和實踐方法。因此，第2部分包含滿足第1部分要求的指導，選項D正確。選項A、B、C均不符合ISO/IEC20000標準第2部分與第1部分的關系。18.考慮不同時段的工作負載的差異收費用于（）。A.故障樹分析（FTA）B.可用性計劃C.服務級別管理D.風險分析和管理法答案：B解析：考慮不同時段的工作負載的差異收費，這涉及到服務級別管理。服務級別管理是一種確保IT服務滿足業(yè)務需求的策略，它定義了服務級別協(xié)議（SLA），這些協(xié)議明確了服務提供者必須達到的服務水平。服務級別協(xié)議通常包括可用性、性能、可靠性、安全性和可維護性等方面的指標。因此，考慮不同時段的工作負載的差異收費，是為了確保服務提供者能夠在不同的工作負載下提供符合SLA的服務，這符合服務級別管理的范疇。故障樹分析（FTA）、可用性計劃、風險分析和管理法雖然與IT服務管理有關，但它們與考慮不同時段的工作負載的差異收費不直接相關。因此，正確答案是B，即可用性計劃。19.電子郵件是傳播惡意代碼的重要途徑，為了防止電子郵件中的惡意代碼的攻擊，用（）方式閱讀電子郵件。A.程序B.網(wǎng)頁C.純文本D.會話答案：C解析：惡意代碼通常隱藏在電子郵件的附件或正文中，使用某些程序或網(wǎng)頁閱讀電子郵件可能會觸發(fā)惡意代碼的執(zhí)行。為了防止這種情況，最安全的方式是僅使用純文本方式閱讀電子郵件，因為純文本格式不包含可執(zhí)行代碼，從而降低了被惡意代碼攻擊的風險。因此，正確答案是“純文本”。20.《信息技術信息安全事件分類分級指南》中的災害性事件是由于（）對信息系統(tǒng)造成物理破壞而導致的信息安全事件。A.網(wǎng)絡攻擊B.不可抗力C.自然災害D.人為因素答案：B解析：根據(jù)《信息技術信息安全事件分類分級指南》，災害性事件是由于不可抗力對信息系統(tǒng)造成物理破壞而導致的信息安全事件。自然災害如地震、洪水、臺風等屬于不可抗力范疇，能夠對信息系統(tǒng)造成物理破壞，從而導致信息安全事件。因此，正確答案為B，即不可抗力。21.IT服務管理中所指“升級（escalation）”即：（）。A.針對用戶計算機系統(tǒng)實施的升級，包括軟件升級以及硬件升級B.為了滿足服務級別目標而執(zhí)行的流程，包括職能性升級和管理性升級C.針對特定顧客提升其服務質量等級的活動，如升級至“金牌服務”D.為了提高顧客滿意度而提請更高級管理者與顧客對話的活動答案：B解析：IT服務管理中所指“升級（escalation）”是指為了滿足服務級別目標而執(zhí)行的流程，包括職能性升級和管理性升級。這一流程是為了確保服務能夠滿足或超越預定的服務級別協(xié)議（SLA）要求，通過不斷優(yōu)化和改進服務過程，提升服務質量和客戶滿意度。選項A、C和D都與IT服務管理中的“升級”概念不符，因此正確答案是B。22.組織應（）一個服務管理計劃。A.創(chuàng)建、實施和運行B.創(chuàng)建、運行和保持C.創(chuàng)建、實施和保持D.創(chuàng)建、運行和保持答案：C解析：組織應“創(chuàng)建、實施和保持”一個服務管理計劃。根據(jù)題目描述，服務管理計劃需要經(jīng)歷創(chuàng)建、實施和保持三個過程。創(chuàng)建階段涉及計劃的初始設計，實施階段涉及計劃的執(zhí)行和落地，保持階段涉及計劃的持續(xù)改進和優(yōu)化。因此，選項C“創(chuàng)建、實施和保持”最符合題目要求。23.ITSMS監(jiān)督審核的目的不包括（）。A.驗證認證通過的ITSMS是否得以持續(xù)實現(xiàn)B.驗證是否考慮了由于組織運轉過程的變化而可能引起的體系的變化C.確認是否持續(xù)符合認證要求D.做出是否換發(fā)證書的決定答案：D解析：ITSMS（信息技術服務管理體系）監(jiān)督審核的主要目的是驗證認證通過的ITSMS是否得以持續(xù)實現(xiàn)，確認是否持續(xù)符合認證要求，以及是否考慮了由于組織運轉過程的變化而可能引起的體系的變化。選項D，即做出是否換發(fā)證書的決定，并不屬于ITSMS監(jiān)督審核的目的。因此，答案為D。24.設計和轉換新的或變更服務的目標是（）。A.為保證新的服務和變更服務的服務接受標準得到完全滿足B.為保證新的服務和變更服務的提議完全估價C.為保證新的服務和變更服務的提議得到完全評估和授權D.為保證新的服務和變更服務在約定的成本和服務質量上可交付和可管理答案：A解析：本題考察的是設計和轉換新的或變更服務的目標。A選項“為保證新的服務和變更服務的服務接受標準得到完全滿足”符合設計和轉換新的或變更服務的目標，即確保服務接受者對新服務或變更服務的滿意度，達到或超越預期的服務接受標準。B選項“為保證新的服務和變更服務的提議完全估價”主要關注的是服務提議的估價，而不是服務的實際設計和轉換，因此不符合題意。C選項“為保證新的服務和變更服務的提議得到完全評估和授權”主要關注的是服務的評估和授權過程，而不是服務的實際設計和轉換，因此也不符合題意。D選項“為保證新的服務和變更服務在約定的成本和服務質量上可交付和可管理”雖然提到了可交付性和可管理性，但更側重于服務的實際執(zhí)行和運營，而不是設計和轉換的目標，因此也不符合題意。綜上所述，正確答案為A選項“為保證新的服務和變更服務的服務接受標準得到完全滿足”。25.風險評估過程不包括（）。A.風險識別B.風險分析C.風險評價D.風險處理答案：D解析：風險評估過程通常包括風險識別、風險分析和風險評價三個步驟。風險識別是確定可能存在的風險，風險分析是對這些風險進行量化或定性分析，而風險評價則是基于分析結果對風險進行排序或分類。風險處理通常不屬于風險評估過程的一部分，而是風險管理過程的一部分，它涉及采取措施來降低或消除已識別的風險。因此，選項D“風險處理”是不屬于風險評估過程的。26.根據(jù)《互聯(lián)網(wǎng)信息服務管理辦法》規(guī)定，國家對于經(jīng)營性互聯(lián)網(wǎng)信息服務實行（）。A.備案制度B.許可制度C.行政監(jiān)管制度D.備案與行政監(jiān)管相結合的管理制度答案：B解析：《互聯(lián)網(wǎng)信息服務管理辦法》規(guī)定，國家對經(jīng)營性互聯(lián)網(wǎng)信息服務實行許可制度。非經(jīng)營性互聯(lián)網(wǎng)信息服務實行備案制度。因此，正確答案為B，即許可制度。27.《中華人民共和國認證認可條例》要求，認證機構及其認證人員對（）負責。A.審核發(fā)現(xiàn)B.審核證據(jù)C.認證結果D.認證結論答案：C解析：《中華人民共和國認證認可條例》規(guī)定，認證機構及其認證人員應當對認證結果負責。因此，正確答案為C，即認證結果。審核發(fā)現(xiàn)、審核證據(jù)和認證結論都不是認證機構及其認證人員應當負責的內(nèi)容。28.闡明所取得的結果或提供所完成活動的證據(jù)的是文件是（）。A.報告B.記錄C.演示D.協(xié)議答案：B解析：報告是用于報告或陳述事件、研究或發(fā)現(xiàn)等的文件，通常包含結論、分析和建議，但并不一定是直接證據(jù)。記錄是詳細記錄活動或事件的文件，通常包括時間、地點、參與者、活動內(nèi)容等，是完成活動或取得結果的直接證據(jù)。演示是展示某種技術、產(chǎn)品或概念的文件，通常包含圖像、圖表和動畫等，主要用于展示，不是證據(jù)。協(xié)議是雙方或多方之間達成的書面協(xié)議，用于規(guī)定各方權利和義務，也不是證據(jù)。因此，正確答案是記錄。29.IT服務管理是（）保證IT服務提供的質量。A.通過將內(nèi)部和外部的客戶與提供商之間的協(xié)定記錄記錄到正式的文檔中B.通過在IT組織的所有員工中推行客戶導向模式C.通過訂立通用的可接受的服務級別標準D.旨在規(guī)定建立、實施、維持和持續(xù)改進SMS的要求答案：D解析：IT服務管理旨在規(guī)定建立、實施、維持和持續(xù)改進服務管理系統(tǒng)的要求，以保證IT服務提供的質量。因此，正確答案是D。A選項錯誤，因為它沒有直接說明IT服務管理是如何保證服務質量的；B選項錯誤，因為它沒有說明客戶導向模式如何與IT服務管理相關聯(lián)；C選項錯誤，因為它沒有提到建立通用的可接受的服務級別標準如何保證服務質量。30.下列描述中（）不是最高管理者的管理職責。A.確保建立了服務管理方針和服務管理目標B.促進SMS和服務的持續(xù)改進C.溝通有效服務管理的重要性D.制定具體的服務過程答案：D解析：服務管理要求組織應確保服務管理過程得到建立和實施，應建立、實施和保持一個服務管理體系（ServiceManagementSystem，簡稱SMS），SMS的核心要素是確保服務管理的策劃、資源、過程和改進等方面持續(xù)符合組織的服務管理方針和服務管理目標，故最高管理者應確保建立了服務管理方針和服務管理目標，并促進SMS和服務的持續(xù)改進。最高管理者還應通過其示范、溝通和推動，使服務管理的重要性在組織的所有層次上得到認識，因此最高管理者應溝通有效服務管理的重要性。制定具體的服務過程屬于服務管理過程的要求，不是最高管理者的管理職責。因此，選項D“制定具體的服務過程”不是最高管理者的管理職責。31.關于涉密信息系統(tǒng)的管理，以下說法不正確的是（）。A.涉密計算機未經(jīng)安全技術處理不得改作其他用途B.涉密計算機、存儲設備不得接入互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡C.涉密信息系統(tǒng)中的安全技術程序和管理程序不得擅自卸載D.涉密計算機只有采取了適當防護描述才可接入互聯(lián)網(wǎng)答案：D解析：涉密計算機只有采取了適當防護描述才可接入互聯(lián)網(wǎng)的說法是不正確的。根據(jù)《涉密信息系統(tǒng)安全保密管理規(guī)定》，涉密計算機、存儲設備不得接入互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡，這是為了保障涉密信息的安全。因此，選項D中的說法是不正確的。而選項A、B、C的說法都是正確的，分別對應涉密計算機的安全技術處理、涉密計算機和存儲設備的網(wǎng)絡接入限制以及涉密信息系統(tǒng)中的安全技術程序和管理程序的管理要求。32.目前信息技術服務管理體系的認證周期為（）。A.2年B.3年C.4年D.根據(jù)實際情況確定答案：B解析：信息技術服務管理體系的認證周期通常是根據(jù)具體情況確定的，而不是固定的2年、3年或4年。因此，選項D“根據(jù)實際情況確定”是正確答案。雖然題目中列出了其他幾個選項作為干擾項，但根據(jù)一般情況下認證周期的確定方式，最符合實際情況的答案應該是根據(jù)具體情況來確定認證周期。因此，選項B是錯誤的。33.組織應運行ITSMS，確?；顒雍唾Y源的協(xié)調(diào)。組織應實施要求的（）。A.程序B.活動C.過程D.計劃答案：B解析：題目中提到“組織應運行ITSMS，確?；顒雍唾Y源的協(xié)調(diào)。組織應實施要求的（）。”，這里的ITSMS可能是指信息技術服務管理系統(tǒng)（ITServiceManagementSystem），而確?；顒雍唾Y源的協(xié)調(diào)是ITSM的重要目標之一。為了確保這種協(xié)調(diào)，組織需要實施某些內(nèi)容。選項A“程序”通常指的是一系列有序的步驟或操作，用于完成某項任務或實現(xiàn)某個目標。雖然程序可能是實施ITSMS的一部分，但它本身并不是ITSM的核心要素。選項B“活動”指的是具體的操作或任務，可以是實現(xiàn)ITSM目標的具體步驟。確保活動和資源的協(xié)調(diào)需要具體的活動來執(zhí)行，因此活動是最符合題目要求的選項。選項C“過程”指的是一系列相互關聯(lián)的活動，共同完成某項任務或實現(xiàn)某個目標。雖然過程與活動有相似之處，但過程更側重于整體流程，而不僅僅是具體的活動。選項D“計劃”指的是為實現(xiàn)某個目標而制定的詳細步驟或策略。雖然計劃可能是實施ITSMS的一部分，但它更多的是一種規(guī)劃或指導，而不是具體的活動內(nèi)容。綜上所述，為了確保活動和資源的協(xié)調(diào)，組織需要實施具體的活動。因此，正確答案是B“活動”。34.組織應定義所有事件的記錄和分類、分級、需要時升級、解決和（）。A.報告B.溝通C.回復顧客D.正式關閉答案：D解析：在事件管理中，記錄、分類、分級、升級和解決是事件處理的基本步驟。這些步驟完成后，還需要一個正式關閉的步驟，以確保事件得到了妥善處理，并且不會留下任何未解決的問題。因此，選項D“正式關閉”是符合事件管理流程的，是正確答案。其他選項如報告、溝通、回復顧客雖然也是事件處理中可能需要做的，但不如“正式關閉”這個步驟直接針對事件處理的結束。35.依據(jù)GBZ20986，以下說法不正確的是（）。A.網(wǎng)絡掃描監(jiān)聽是網(wǎng)絡攻擊事件B.蠕蟲事件是有害程序事件C.僵尸網(wǎng)絡是網(wǎng)絡攻擊事件D.信息篡改是信息破壞事件答案：C解析：依據(jù)GBZ20986，僵尸網(wǎng)絡是指攻擊者通過控制大量計算機，利用這些計算機作為僵尸主機，形成僵尸網(wǎng)絡，從而進行網(wǎng)絡攻擊。因此，僵尸網(wǎng)絡確實是網(wǎng)絡攻擊事件。然而，選項C中的“僵尸網(wǎng)絡是網(wǎng)絡攻擊事件”并沒有明確指出僵尸網(wǎng)絡是“有害程序事件”，所以這一說法是不正確的。因此，答案為C。36.ISO/IEC20000-3與ISO/IEC20000-1之間的關系是（）。A.ISO/IEC20000-3為ISO/IEC20000-1提供了實施指南B.ISO/IEC20000-3為ISO/IEC20000-1提供了范圍定義的指南C.ISO/IEC20000-3為ISO/IEC20000-1提供了過程參考模型D.ISO/IEC20000-3為ISO/IEC20000-1提供了實施計劃樣例答案：B解析：ISO/IEC20000-1和ISO/IEC20000-3都是IT服務管理（ITSM）的標準，但是它們有不同的功能和重點。ISO/IEC20000-1定義了IT服務管理的核心概念和框架，而ISO/IEC20000-3則提供了對ISO/IEC20000-1的詳細實施指南。因此，ISO/IEC20000-3為ISO/IEC20000-1提供了范圍定義的指南，所以選項B是正確的。其他選項A、C、D都與ISO/IEC20000-3與ISO/IEC20000-1之間的關系不符。37.國家對計算機信息系統(tǒng)安全專用產(chǎn)品的銷售實行的管理制度是（）。A.許可證制度B.備案制度C.申報與審批制度D.測評、認證與審批制度答案：A解析：根據(jù)《計算機信息系統(tǒng)安全專用產(chǎn)品檢測和銷售許可證管理辦法》的規(guī)定，國家對計算機信息系統(tǒng)安全專用產(chǎn)品的銷售實行許可證制度。因此，正確答案為A、許可證制度。其他選項如備案制度、申報與審批制度、測評、認證與審批制度均不是國家對計算機信息系統(tǒng)安全專用產(chǎn)品的銷售實行的管理制度。38.事件管理的目的是盡快恢復（）的服務或響應服務請求。A.協(xié)商一致B.設備檢修C.中斷D.配置信息答案：A解析：事件管理的目的是盡快恢復協(xié)商一致的服務或響應服務請求。事件管理通常涉及對系統(tǒng)或網(wǎng)絡中的中斷、故障或問題的響應和處理，其目標是在最短的時間內(nèi)恢復正常的服務或響應，以確保系統(tǒng)的穩(wěn)定性和可靠性。選項A“協(xié)商一致”可能指的是在事件處理過程中，各方需要協(xié)商一致，共同確定解決方案和行動步驟。選項B“設備檢修”雖然與事件管理有關，但不是事件管理的直接目的。選項C“中斷”和選項D“配置信息”都與事件管理的目標不完全吻合。因此，正確答案是A。39.變更請求（RFC）的目的是（）。A.RFC觸發(fā)變更流程B.RFC記錄由服務申請所產(chǎn)生的變更C.RFC用于申請對服務預算做出變更D.RFC控制變更和發(fā)布和部署流程之間的關系答案：A解析：變更請求（RFC）的主要目的是觸發(fā)變更流程。RFC通常用于記錄對系統(tǒng)、服務或流程的需求變更，并通過正式流程進行審批和實施。因此，選項A“RFC觸發(fā)變更流程”是正確的。選項B“RFC記錄由服務申請所產(chǎn)生的變更”雖然描述了RFC的一部分功能，但不是其主要目的。選項C“RFC用于申請對服務預算做出變更”和選項D“RFC控制變更和發(fā)布和部署流程之間的關系”都不準確描述了RFC的主要目的。40.“多級SLA”是一個三層結構，下列哪層不是這樣類型SLA的部分？（）A.客戶級別B.公司級別C.配置級別D.服務級別答案：C解析：多級SLA通常是一個三層結構，包括客戶級別、公司級別和服務級別。這三個級別共同構成了SLA的不同層次，用于定義和約束服務提供者與客戶之間的服務質量和責任。然而，選項C中的“配置級別”并不是多級SLA的常規(guī)組成部分。因此，正確答案是C。多選題（共15題，共30分）41.ISO/IEC20000-1到-6中哪些是要求類標準。（）A.20000-6B.20000-4C.20000-2D.20000-1答案：AD解析：ISO/IEC20000-1到-6是一系列關于IT服務管理的標準。其中，ISO/IEC20000-1是IT服務管理的基礎標準，它定義了IT服務管理的框架和概念。ISO/IEC20000-6則是關于服務臺和服務臺活動的標準，它提供了服務臺運作的指南和最佳實踐。這兩個標準都是要求類標準，因為它們?yōu)榻M織提供了必須遵循的準則和流程。因此，選項A和D是正確的。選項B和C所代表的標準不是要求類標準。42.依據(jù)ISO20000-6:2017以下可構成減少ITSMS初審人日的因素包括（）。A.已獲得的認證在最近12個月內(nèi)對其至少實施了一次審核B.擬認證的范圍已獲得ISO/IEC27001證書C.已獲得其他認證的范圍大于擬認證的范圍D.擬認證的范圍與獲得ISMS證書范圍等同答案：ABCD解析：根據(jù)ISO20000-6:2017標準，減少ITSMS初審人日的因素包括：A.已獲得的認證在最近12個月內(nèi)對其至少實施了一次審核：這意味著組織已經(jīng)通過了一個審核，并且該審核在最近12個月內(nèi)完成，這可以作為減少初審人日的依據(jù)。B.擬認證的范圍已獲得ISO/IEC27001證書：如果組織已經(jīng)獲得了ISO/IEC27001證書，并且該證書覆蓋的范圍與擬認證的范圍相同或更大，那么可以減少初審人日。C.已獲得其他認證的范圍大于擬認證的范圍：如果組織已經(jīng)獲得了其他認證，并且這些認證的范圍大于擬認證的范圍，那么可以減少初審人日。D.擬認證的范圍與獲得ISMS證書范圍等同：如果組織已經(jīng)獲得了與擬認證范圍相同的ISMS證書，那么可以減少初審人日。因此，選項A、B、C和D都是減少ITSMS初審人日的因素。43.依據(jù)GB/Z20986，信息安全事件分級考慮的要素包括（）。A.客戶投訴數(shù)B.社會影響C.系統(tǒng)損失D.信息系統(tǒng)重要程度答案：BCD解析：依據(jù)GB/Z20986，信息安全事件分級考慮的主要要素包括社會影響、系統(tǒng)損失和信息系統(tǒng)重要程度。這些要素共同決定了信息安全事件的嚴重性和緊急程度，從而指導了相應的應對措施和資源分配。因此，正確答案為BCD，即社會影響、系統(tǒng)損失和信息系統(tǒng)重要程度。44.事件管理中以下哪項不是管理性升級的活動？（）A.將一個事件的信息通知更多的高層管理者B.將事件轉給具有更高技術水平的人解決C.為保持顧客滿意使用盡可能多高級專家D.不能滿足SLA中規(guī)定的事件解決時間要求答案：BCD解析：選項A，將事件信息通知給更多的高層管理者，是為了確保管理層對事件的了解和應對。這屬于管理性升級的活動，因為涉及到通知更多的利益相關者。選項B，將事件轉給具有更高技術水平的人解決，涉及到技術層面的決策，而不是單純的管理性升級。這是為了確保事件得到專業(yè)處理。選項C，為保持顧客滿意使用盡可能多高級專家，同樣涉及到技術層面的決策，而不是管理性升級。這是為了確保顧客滿意度。選項D，不能滿足SLA中規(guī)定的事件解決時間要求，這通常會導致管理性升級，因為需要采取額外的措施來滿足服務級別協(xié)議的要求。這涉及到通知更高層的管理者或調(diào)整資源。因此，選項B和C都不是管理性升級的活動。45.下列哪項的變化受變更管理控制？（）A.服務目錄B.SLAC.服務需求D.供方合同答案：ABCD解析：變更管理控制涉及對服務目錄、SLA（服務水平協(xié)議）、服務需求以及供方合同的管理和變更控制。這些項目都是與服務交付和運營相關的關鍵要素，因此它們的變化都受到變更管理控制的影響。服務目錄記錄了所有可用的服務及其相關信息，SLA定義了客戶對服務提供者的服務期望，服務需求明確了客戶或用戶期望的服務類型和功能，供方合同則明確了服務提供者和客戶之間的權利和義務。當這些項目發(fā)生變化時，需要通過變更管理來控制這些變化對服務交付和運營的影響，確保變更的順利執(zhí)行并滿足客戶的期望和要求。因此，A、B、C、D選項都是正確的。46.在IT服務管理中，“部署”活動包括：（）A.實施變更B.對變更的影響進行評估C.將服務組件遷移到生產(chǎn)環(huán)境D.將經(jīng)測試的軟件包轉移到生產(chǎn)環(huán)境答案：CD解析：在IT服務管理中，“部署”活動主要包括將服務組件遷移到生產(chǎn)環(huán)境和將經(jīng)測試的軟件包轉移到生產(chǎn)環(huán)境。因此，選項C和D是正確的。選項A“實施變更”和選項B“對變更的影響進行評估”不是部署活動的直接內(nèi)容，因此不應被選中。47.確定審核時間，時間的分配應考慮以下哪些ITSMS特定因素（）。A.在ITSMS范圍內(nèi)，SLAs的水平和所使用的第三方協(xié)議B.適用于認證的標準和法規(guī)C.參與服務提供的其他相關方的數(shù)量，例如：供應商、充當供應商的內(nèi)部小組或顧客D.以往已證實的ITSMS績效答案：ABCD解析：在確定審核時間并分配時間時，需要綜合考慮ITSMS（信息技術服務管理系統(tǒng)）的多個特定因素。這些因素包括：A.在ITSMS范圍內(nèi)，SLAs（服務水平協(xié)議）的水平和所使用的第三方協(xié)議：SLAs定義了服務提供者和客戶之間的期望和承諾，而第三方協(xié)議則可能涉及與其他組織或供應商的合作。這些因素會影響審核的復雜性和所需的時間。B.適用于認證的標準和法規(guī)：不同的標準和法規(guī)要求不同的審核深度和廣度。因此，確定審核時間時，需要考慮所適用的標準和法規(guī)的具體要求。C.參與服務提供的其他相關方的數(shù)量，例如：供應商、充當供應商的內(nèi)部小組或顧客：審核不僅限于組織內(nèi)部，還可能涉及外部合作伙伴和供應商。參與方數(shù)量的多少會影響審核的范圍和復雜性，進而影響所需的時間。D.以往已證實的ITSMS績效：組織的ITSMS績效歷史會影響審核的焦點和深度。如果組織在過去表現(xiàn)出良好的績效，審核可能會更加側重于驗證和改進；而績效不佳的情況則可能需要更深入的審查。因此，確定審核時間時，需要綜合考慮以上所有因素。48.以下關于網(wǎng)絡釣魚的說法中，正確的是（）。A.網(wǎng)絡釣魚是“社會工程攻擊”的一種形式B.網(wǎng)絡釣魚融合了偽裝、欺騙等多種攻擊方式C.網(wǎng)絡釣魚與Web服務沒有關系D.典型的網(wǎng)絡釣魚攻擊都將被攻擊者引誘到一個通過精心設計的釣魚網(wǎng)站上答案：ABD解析：網(wǎng)絡釣魚是一種攻擊手段，屬于“社會工程攻擊”的一種，A項正確。這種攻擊手段通過偽裝和欺騙，誘導用戶訪問惡意網(wǎng)站，進而盜取用戶的個人信息，如賬號密碼、銀行卡信息等，B項正確。典型的網(wǎng)絡釣魚攻擊確實是通過精心設計釣魚網(wǎng)站，引誘用戶訪問，進而實施攻擊，D項正確。網(wǎng)絡釣魚與Web服務是有關系的，因為它利用Web服務來誘騙用戶，C項錯誤。綜上，本題正確答案為ABD。49.根據(jù)GB/Z20986，關于信息安全產(chǎn)品的使用，以下說法不正確的的是（）。A.對于所有的信息系統(tǒng)，信息安全產(chǎn)品的核心技術、關鍵部件須具有我國自主知識產(chǎn)權B.對于三級以上信息系統(tǒng)，已列入信息安全產(chǎn)品認證目錄的，應取得國家信息安全產(chǎn)品認證機構頒發(fā)的認證證書C.對于四級以上信息系統(tǒng)，信息安全產(chǎn)品研制的主要技術人員須無犯罪記錄D.對于四級以上信息系統(tǒng)，信息安全產(chǎn)品研制單位須聲明沒有故意留有或設置漏洞答案：ACD解析：A選項：對于所有的信息系統(tǒng)，信息安全產(chǎn)品的核心技術、關鍵部件須具有我國自主知識產(chǎn)權。這個說法過于絕對，GB/Z20986并沒有規(guī)定所有的信息系統(tǒng)都需要使用具有我國自主知識產(chǎn)權的信息安全產(chǎn)品核心技術和關鍵部件。B選項：對于三級以上信息系統(tǒng)，已列入信息安全產(chǎn)品認證目錄的，應取得國家信息安全產(chǎn)品認證機構頒發(fā)的認證證書。這是符合GB/Z20986的規(guī)定，因此B選項是正確的。C選項：對于四級以上信息系統(tǒng)，信息安全產(chǎn)品研制的主要技術人員須無犯罪記錄。GB/Z20986并沒有明確規(guī)定四級以上信息系統(tǒng)信息安全產(chǎn)品研制的主要技術人員必須無犯罪記錄，因此C選項是不正確的。D選項：對于四級以上信息系統(tǒng)，信息安全產(chǎn)品研制單位須聲明沒有故意留有或設置漏洞。這個規(guī)定過于主觀，并且缺乏明確的標準，因此D選項是不正確的。綜上所述，A、C、D選項都是不正確的，因此答案是A、C、D。50.根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》，公安機關對計算機信息系統(tǒng)保護工作行使下列哪些監(jiān)督職權（）。A.監(jiān)督、檢查、指導計算機信息系統(tǒng)安全保護工作B.查處危害計算機信息系統(tǒng)安全的違法犯罪案件C.計算機信息系統(tǒng)安全等級保護的級別劃分D.履行計算機信息系統(tǒng)安全保護工作的其他監(jiān)督職責答案：ABD解析：《中華人民共和國計算機信息系統(tǒng)安全保護條例》明確規(guī)定，公安機關在計算機信息系統(tǒng)安全保護工作中，有權對計算機信息系統(tǒng)的安全保護工作進行監(jiān)督、檢查、指導，有權查處危害計算機信息系統(tǒng)安全的違法犯罪案件，以及履行計算機信息系統(tǒng)安全保護工作的其他監(jiān)督職責。因此，選項A、B和D都是公安機關在計算機信息系統(tǒng)安全保護工作中可以行使的監(jiān)督職權。而選項C“計算機信息系統(tǒng)安全等級保護的級別劃分”并不屬于公安機關的監(jiān)督職權，因此不應選。51.基礎環(huán)境運維服務通常包括（）。A.蓄水/蓄冷罐的維護維修B.主機設備的定期巡檢C.機房電力系統(tǒng)預防性維護D.安防系統(tǒng)的實時監(jiān)答案：ACD解析：基礎環(huán)境運維服務通常涉及對機房內(nèi)各種設施的日常管理和維護，以確保其正常運行。主機設備是機房內(nèi)的重要組成部分，定期巡檢有助于及時發(fā)現(xiàn)并解決問題，避免潛在的運行風險。機房電力系統(tǒng)是機房運行的基礎，預防性維護可以確保電力的穩(wěn)定供應，避免因電力問題導致的停機事故。安防系統(tǒng)的實時監(jiān)控可以保障機房的安全，防止未經(jīng)授權的人員進入或設備被盜。蓄水/蓄冷罐的維護維修雖然與機房環(huán)境有關，但不屬于基礎環(huán)境運維服務的范疇。因此，正確答案為ACD。52.ISO/IEC20000標準中IT服務的預算及核算管理的內(nèi)容包括哪些？（）A.預算編制B.計費C.核算D.采購答案：AC解析：在ISO/IEC20000標準中，關于IT服務的預算及核算管理，主要包括預算編制和核算兩個方面。這是基于ISO/IEC20000標準對于IT服務管理的要求，該標準強調(diào)對服務進行有效的規(guī)劃、交付、支持和改進，其中涉及到預算和核算的管理。因此，選項A“預算編制”和選項C“核算”是正確的。選項B“計費”和選項D“采購”并不直接涉及預算及核算管理的內(nèi)容，因此是錯誤的。53.在建立新的服務級別協(xié)議時，下列哪項是服務級別管理應該考慮的？（）A.變更服務級別協(xié)議可能發(fā)生的影響能被確定B.變更管理規(guī)程C.新的服務級別協(xié)議業(yè)務目標D.在其它已存在的服務級別協(xié)議中的條件能夠繼續(xù)達到要求答案：ACD解析：服務級別管理在建立新的服務級別協(xié)議時，需要考慮以下幾個方面：A.變更服務級別協(xié)議可能發(fā)生的影響能被確定：這是服務級別管理需要關注的重要一點。當服務級別協(xié)議發(fā)生變更時，可能會產(chǎn)生一系列影響，包括服務質量的改變、成本的變動等。因此，服務級別管理需要評估這些變更可能帶來的影響，并制定相應的應對措施。C.新的服務級別協(xié)議業(yè)務目標：服務級別協(xié)議的核心是明確服務的業(yè)務目標，包括服務的質量、可用性、響應時間等。因此，在建立新的服務級別協(xié)議時，必須明確這些業(yè)務目標，并將其納入服務級別管理的考慮范圍。D.在其它已存在的服務級別協(xié)議中的條件能夠繼續(xù)達到要求：當建立新的服務級別協(xié)議時，需要確保不會影響到其它已存在的服務級別協(xié)議的執(zhí)行。因此，服務級別管理需要評估新的協(xié)議是否能夠滿足其它協(xié)議的條件，并確保其能夠達到預期的要求。B選項“變更管理規(guī)程”雖然與服務級別管理有關，但不是建立新的服務級別協(xié)議時應該重點考慮的內(nèi)容。變更管理規(guī)程主要是用來規(guī)范變更的流程和管理，而不是直接針對服務級別協(xié)議的建立。因此，B選項不符合題目要求。54.內(nèi)審策劃文件中應包括（）。A.不符合準則B.審核范圍C.審核頻次和方法D.審核結論答案：BC解析：內(nèi)審策劃文件是內(nèi)部審計部門為了進行內(nèi)部審核而制定的計劃性文件，它應該明確審核的范圍、頻次和方法，以便審核人員能夠按照規(guī)定的程序和要求進行審核。而“不符合準則”和“審核結論”并不是內(nèi)審策劃文件中必須包含的內(nèi)容。因此，選項A和D是不正確的，而選項B和C是正確的。所以，內(nèi)審策劃文件中應包括審核范圍、審核頻次和方法。55.信息技術服務管理體系的范圍應依據(jù)（）確定。A.組織的外部和內(nèi)部事項B.組織所識別的相關的要求C.組織實施的活動之間及其與其他組織實施的活動之間的接口和依賴關系D.ISO/IEC20000-1:2018的標準要求答案：ABC解析：信息技術服務管理體系的范圍確定是一個復雜的過程，需要綜合考慮多個因素。首先，組織的外部和內(nèi)部事項，包括組織的運營環(huán)境、資源、能力以及與其他組織的交互等，都會對服務管理體系的范圍產(chǎn)生影響。其次，組織所識別的相關的要求，包括法律法規(guī)、行業(yè)標準、客戶需求等，也是確定服務管理體系范圍的重要依據(jù)。最后，組織實施的活動之間及其與其他組織實施的活動之間的接口和依賴關系，也是確定服務管理體系范圍時需要考慮的因素。因此，選項A、B、C都是正確的。而選項D提到的ISO/IEC20000-1:2018的標準要求，雖然是一個重要的參考標準，但并不是確