2022年12月ITSMS信息技術服務管理基礎CCAA審核員模擬試題一、單項選擇題1、ISO/IEC20000-3與ISO/IEC20000-1之間的關系是A、ISO/IEC20000-3為ISO/IEC20000-1提供了實施指南B、ISO/IEC20000-3為ISO/IEC20000-1提供了范圍定義的指南C、ISO/IEC20000-3為ISO/IEC20000-1提供了過程參考模型D、ISO/IEC20000-3為ISO/IEC20000-1提供了實施計劃樣例2、《信息安全技術信息安全事件分類分級指南》中將信息內容安全事件分為()個子類。A、5B、6C、7D、43、根據ISO/IECTR20000-4標準，業務關系管理過程的結果是()。A、計劃和實施與客戶的溝通B、確定客戶和利害相關方C、其他選項均正確D、識別和監控客戶的需求和期望4、根據GB/T29264標準，安全運維服務不包括()。A、軟件功能修改完善服務B、安全巡檢服務C、滲透性測試服務D、脆弱性檢查服務5、依據GB/Z20986，以下說法不正確的是()。A、網絡掃描監聽是網絡攻擊事件B、蠕蟲事件是有害程序事件C、僵尸網絡是網絡攻擊事件D、信息篡改是信息破壞事件6、ITIL和ISO/IEC20000之間有何關系?()A、ITIL基于ISO/IEC20000B、ITIL為IT服務管理提供最佳實踐建議，而ISO/IEC20000則定義了IT服務管理的標準C、ITIL是ISO/IEC20000第1和2部分的子集D、ITIL和ISO/IEC20000相互兼容并適用于服務管理系統的不同部分7、根據ISO/IEC20000-6:2017標準，審核時間包含在客戶場所(物理的或虛擬的)現場的所有時間和在非現場進行的()。A、與客戶人員的互動B、策劃C、其他選項全對D、文件評審8、在發布部署運行環境中之前，應建立受影響配置項的A、文件B、目錄C、備份D、基線9、一家汽車修理廠根據ISO/IEC20000-1建立SMS時，以下哪一項說法是錯誤的?()A、將服務的設計、建立和轉換過程外包給第三方B、客戶沒有需求，所以可以不建立服務報告管理過程C、對供應商的活動進行監視，并要求定期提供工作報告D、在建立服務目錄時，考慮現有服務以及客戶的要求10、風險評估過程不包括（）。A、風險評價B、風險識別C、風險分析D、風險處置11、建立服務目錄的價值在于()。A、表現變更對業務的影響B、展示配置項之間的關系C、對交付的IT服務提供一個集中的信息源D、預測IT基礎架構事務的根本原因12、關于ISO/IEC20000標準，以下說法正確的是()。A、ISO/IEC20000-2為審計實現提供指南B、ISO/IEC20000-2為變更管理、事件管理等管理流程的具體實現提供指南C、ISO/IEC20000-2為ISO/IEC20000-1提供實施服務管理體系指南D、ISO/IEC20000-1是ISO/IEC20000-2的應用指南13、《中華人民共和國計算機信息系統安全保護條例》所稱的計算機信息系統，是指由計算機及其相關的和配套的設備、設施(含網絡)構成的，按照一定的應用目標和規則對信息進行采集、()、檢索等處理的人機系統。A、存儲、加工、處置B、存儲、使用、處置C、存儲、傳輸、使用D、加工、存儲、傳輸14、關鍵信息基礎設施的運營者應當自行或委托網絡安全服務機構()對其網絡的安全性和可能存在的風險檢測評估。A、至少半年一次B、至少兩年一次C、至少一年一次D、至少每年兩次15、管理體系的初次認證審核應分為哪兩個階段實施?A、預審核和監督審核B、第一階段和第二階段C、預審核和初次訪問審核D、第一階段和監督審核16、《信息系統安全等級保護實施指南》將（）作為實施等級保護的第一項內容。A、安全定級B、安全規劃C、安全評估D、安全實施17、根據ISOIEC0000-1:2018標準的要求，對“問題和事件之間關系”的描述，正確的是()。A、在目標時間內未能解決的事件將被轉到問題管理B、單個事件永遠不會造成某個問題記錄被打開C、始終會導致某個問題記錄被打開D、一個或多個實際或潛在事件的原因，就是問題18、關于涉密信息系統的管理，以下說法不正確的是A、涉密計算機未經安全技術處理不得改作其他用途B、涉密計算機、存儲設備不得接入互聯網及其他公共信息網絡C、涉密信息系統中的安全技術程序和管理程序不得擅自卸載D、涉密計算機只有采取了適當防護措施才可接入互聯網19、《信息安全技術信息技術信息安全事件分類分級指南》中災害性事件是由于()對信息系統物理破壞而導致的信息安全事件。A、網絡攻擊B、不可抗力C、自然災害D、人為因素20、根據《信息安全等級保護管理辦法》，應加強涉密信息系統運行的保密監督檢查。對秘密密級、機密密級信息系統每()至少進行一次保密檢查或系統評測。A、2年B、半年C、1年D、1.5年21、變更請求(RFC)目的是()。A、RFC觸發變更流程B、RFC記錄由服務申請所產生的變更C、RFC用于申請對服務預算做出變更D、RFC控制變更和發布和部署流程之間的關系22、云服務商提供IaaS服務，不適于作為服務方配置項的是A、物理網絡設備B、物理存儲設備C、OA應用軟件D、虛擬服務器23、對服務可用性進行監視,記錄其結果并與目標進行比較。()不可用應進行調查并采取必要的行動。A、發生的B、計劃外C、可能發生的D、計劃內24、()主要指的是硬件設備。比如是計算機、交換機、路由器、防火墻、機架、因特網、局域網、存儲設備、主要用到的技術包括虛擬主機技術，操作系統以及各種硬件管理技術。A、IaaSB、SaaSC、MSPD、PaaS25、根據ISO/IEC20000-1:2018標準的要求，通常使用()過程對事件信息進行定期分析以確定明顯的趨勢。A、服務級別管理B、問題管理C、變更管理D、事件管理26、IT服務管理中所指“升級(escalation)"即:()。A、針對用戶計算機系統實施的升級，包括軟件升級以及硬件升級B、為了滿足服務水平目標而執行的流程，包括職能性升級和管理性升級C、針對特定顧客提升其服務質量等級的活動，如升級至“金牌服務”D、為了提高顧客滿意度而提請更高級管理者與顧客對話的活動27、組織應運行ITSMS，確保活動和資源的協調。組織應實施要求的（）以交付服務。A、計劃B、活動C、過程D、程序28、電子郵件是傳播惡意代碼的重要途徑，為了防止電子郵件中的惡意代碼的攻擊，用（）方式閱讀電子郵件。A、程序B、網頁C、純文本D、會話29、闡明所取得的結果或提供所完成活動的證據的是文件是()。A、報告B、記錄C、演示D、協議30、根據ISO/IEC20000-1:2018標準的要求，持續服務改進的目標是()。A、為提高管理服務過程效率所采取的鑒定活動B、在不犧牲顧客滿意度的情況下提高IT務的成本效益C、持續改進SMS服務的適宜性、充分性和有效性，以維護客戶和相關方的價值D、在用戶同意的水平上交付和管理服務的生產活動31、組織的外部供應商包括指定的主供應商，不包括主供應商的()。A、內部供應商B、作為供應商的客戶C、供應商D、分包商32、一家公司為他們的圖形設計工作站建立了局域網，因為大容量的圖表通過網絡傳輸，網絡帶寬必須增加。根據ISO/IEC20000-1流程可用于滿意的增加寬帶的方案實施ISO/IEC20000-1:2018標準的要求，以下()。A、變更管理B、問題管理C、容量管理D、可用性管理33、()指應當盡可能調查所有與投訴有關的背景和信息A、投訴響應B、投訴終止C、投訴調查D、受理告知34、()標準描述了用于過程評估的概念和術語。A、ISO/IECTR15504-3B、ISO/IEC15504-2C、ISO/IEC15504-1D、ISO/IECTR15504-435、π服務管理是()保證IT服務提供的質量。A、通過將內部和外部的客戶與提供商之間的協定記錄記錄到正式的文檔中B、通過在I組織的所有員工中推行客戶導向模式C、通過訂立通用的可接受的服務級別標準D、旨在規定建立、實施、維持和持續改進SMS的要求36、下列描述中()不是最高管理者的管理職責。A、確定建立了服務管理方針和服務管理目標B、溝通有效服務管理的重要性C、促進SMS和服務的持續改進D、制定具體的服務過程37、目前可以作為信息技術服務管理體系審核依據的標準是A、ISO/IEC20000-1:2018B、ISO/IEC20000-2:2013C、ISO/IEC20000-1:2013D、ISO/IEC20000-2:201838、根據ISO/IEC20000-1:2018標準的要求，以下說法正確的是()。A、一次發布可以針對一個或多個變更進行，每一個變更都應在發布前經過測試B、部署計劃往往針對的是多個系統進行的較為復雜的發布C、其他全部D、變更、發布、部署可以是同一個活動39、“多級SLA"是一個三層結構，下列哪層不是這類型SLA的部分?()A、客戶級別B、公司級別C、配置級別D、服務級別40、組織應()一個服務管理計劃。A、創建、實施和運行B、創建、運行和保持C、創建、實施和保持D、創建、運行和保持二、多項選擇題41、《信息技術服務分類與代碼》中規定軟件運營服務包括()。A、在線教育平臺B、在線閱讀平臺C、在線企業資源規劃D、在線客戶關系管理42、系統安全分析主要包括調查和評價可能出現的初始的、誘發的和起作用的危害之間的相互關系。可用于IT系統安全風險分析的方法包括()。A、危害分析與關鍵控制點(HACCP)B、攻擊路徑分析法(ATA）C、場景分析法D、失效模式分析法(FMEA）43、內審策劃文件中應包括()A、不符合準則B、審核范圍C、審核頻次和方法D、審核結論44、在建立新的服務級別協議時，下列哪項是服務級別管理應該考慮的?()A、變更服務級別協議可能發生的影響能被確定B、變更管理規程C、新的服務級別協議業務目標D、在其它已存在的服務級別協議中的條件能夠繼續達到要求45、公安機關對計算機信息系統保護工作行使下列監督權A、監督、檢查、指導計算機信息系統安全保護工作B、查處危害計算機信息系統安全的文法犯罪案件C、履行計算機信息系統安全保護工作的其他監督職責D、計算機信息系統實行安全等級保護46、根據ISOIEC0000-1:2018標準的要求，對于擬轉移的服務，策劃還應包括服務轉移的()的傳遞和交接。A、其他服務B、日期和數據C、文檔、知識D、服務組件47、ISO/IEC200標準中I1服務的預算及核算管理的內容包括哪些?()A、預算編制B、計費C、核算D、采購48、根據《信息安全等級保護管理辦法》，辦理信息系統安全保護等級備案手續時，應當填寫《信息系統安全等級保護備案表》，第三級以上信息系統應同時提供以下材料()。A、信息系統安全保護等級專家評審意見B、系統拓撲結構及說明C、系統安全組織結構D、管理制度49、根據《中華人民共和國認證認可條例》，取得認證機構資質，應當符合下列條件()。A、有15名以上相應領域的專職認證人員B、有符合認證認可要求的管理制度C、有固定的場所和必要的設施D、注冊資本不得少于人民幣100萬元50、根據ISO/IEC20000-1:2018標準的要求采用SMS是組織的戰略決策，受組織()的影響。A、服務生命周期中涉及的其他各方B、治理C、目標D、服務有效性和韌性51、依據ISO20000-6:2017以下可以構成減少ITSMS初審人日的因素包括（）。A、已獲得的認證在最近12個月內對其至少實施了一次審核B、擬認證的范圍已獲得ISO/IEC27001證書C、已獲得其他認證的范圍大于擬認證的范圍D、擬認證的范圍與獲得LSMS證書范圍等同52、依據GB/Z20986,信息安全事件分級考慮的要素包括A、客戶投訴數B、社會影響C、系統損失D、信息系統重要程度53、事件管理中以下哪項不是管理性升級的活動()?A、將一個事件的信息通知更多的高層管理者B、將事件轉給具有更高技術水平的人解決C、為保持顧客滿意使用盡可能多高級專家D、不能滿足SLA中規定的事件解決時間要求54、根據ISO/IEC20000-1:2018標準的要求，信息安全的控制措施應()。A、由顧客制定，服務提供方組織通常沒有對這些措施的訪問權B、獨立執行，不受變更管理過程的影響C、評估和記錄SMS服務的信息安全風險D、支持信息安全策略并處置已識別的信息安全風險55、計算機網絡拓撲結構是指網絡中各個站點相互連接的形式，主要的拓撲結構有()以及他們的混合型。A、星型拓撲B、環型拓撲C、總線型拓撲D、樹型拓撲三、判斷題56、根據ISO/IEC20000-1:2018標準的要求，本標準中的供應商管理指的是外部供應商的管理。()57、ISO/IEC20000系列標準由ISO/IECJTC1/SC27進行維護。()58、《中華人民共和國網絡安全法》中明確，關鍵信息基礎設施的運營者應當自行或者委托網絡安全服務機構對其網絡的安全性和可能存在的風險每兩年至少進行一次檢測評估。59、測量是確定數值和性質的過程。60、相關方可以包括不在ITSMS范圍內的組織的一部分。61、ISO/IEC20000-2為建立、實現、保持和持續改進一個SMS提供了要求。()62、風險源是指那些可能導致消極后果或積極后果的因素和危害的來源。63、事件報告可以通過電話、語音郵件、訪問、信件、傳真或電子郵件，用戶也可以通過訪問事件記錄系統或自動監測軟件直接記錄。()64、根據ISO/IEC20000-1:2018標準的要求，按照策劃的時間間隔應監