CCAA2018年6月信息技术服务管理体系审核知识试卷(WORD版含答案)

中国认证认可协会(CCAA)全国统一考试信息技术服务管理体系(ITSMS)审核知识试卷2018年6月注意事项：1、本试卷满分：120分；考试时间：120 分钟；考试形式：笔试闭 卷。2、考生务必将自己的姓名、身份证号、准考证号填写在试卷密封线内，答案写在试卷指定位置。3、考生座位号务必填写。1、关于 ITSMS 范围的确定，以下说法正确的是()。(A) 应考虑业务活动和过程及其边界(B) 因考虑组织单元、组织的物理位置(C) 应考虑组织的资产和技术(D) 以上全部2、ISO/IEC 20000-1:2011 中所指内部团体是指:()(A) IT 服务提供方组织内，除 IT 服务交付团队的所有其他职能部门。(B) IT 服务提供方组织内，按项目划分的不同服务交付团队。(C) 服务提供方组织内，按与服务交付团队的协议参与服务设计等活动的职能部门。(D) 以上都对3、从审核开始直到审核完成，()都应对审核的实施负责。(A) 管理者代表(B) 审核方案人员(C) 认证机构(D) 审核组长4、IT 服务管理中，以下不属于变更管理过程应予以管理的范围是()。(A) 与供方的合同的变更(B) 用于IT服务连续性目的、部件升级(C) 事件中为复原一项服务需要紧急更换一个CPU(D) 对依赖IT服务的业务过程的变更5、第三方认证审核时确定审核范围的程序是：(A) 组织提出、与审核组协商、认证机构确认、认证合同规定(B) 组织申请、认证机构评审、认证合同规定、审核组确认(C) 组织提出、与咨询机构协商、认证机构确认(D) 认证机构提出、与组织协商、审核组确认、认证合同规定6、对于个人信息的使用，除法律法规另有规定外,应()(A) 得到个人信息主体的同意并按约定时间及时删除(B) 得到个人信息主体所在组织的同意，不须告知个人信息主体。(C) 个人信息持有者自行决定管理措施，不须告知个人信息主体。(D) 得到个人信息主体的同意并尽可能长时间保存。7、从审核中获得的()应作为受审核组织的管理体系的持续改进过程的输入(A) 审核证据(B) 不符合项(C) 合理化建议(D) 审核发现8、在认证审核时，审核组应()。(A) 在审核前将审核计划提交受审核方确认(B) 在审核结束时将审核计划提交受审核方确认(C) 随着审核的进展与受审核方共同确认审核计划(D) 将审核计划提交审核委托方批准方可9、第三方认证审核时，关于审核报告，以下说法正确的是()。(A) 每一次审核都必须提交审核报告(B) 阶段审核结论不能确认认证注册，因此不一定提交审核报告(C) 监督审核可不必审核完整体系，因此不需提交审核报告(D) 基于调查性质的属于非正式审核，因此不需要提交审核报告10、当问题管理流程找到一个事件的真实原因和解决的方法，该问题应分类为()(A) 已知错误(B) 已知事件(C) 已知问题(D) 已知原因11、对于第三方服务提供方，以下描述正确的是：(A) 为了监视和评审第三方提供的服务，第三方人员提供服务时应有人员全程陪同(B) 应定期度量和评价第三方遵从商定的安全策略和服务水平的程度(C) 第三方服务提供方应有符合ITIL的流程(D) 第三方服务的变更须向组织呈报已备案12、服务提供方应监视并报告预算的支出，()，从而管理支出(A) 评审财务成本(B) 评审财务预报(C) 有效的财务控制和授权(D) 通过变更管理过程来对服务财务变更进行评估和标准13、关于SLA和OLA的区别和联系，以下说法不正确的是()。(A) SLA定义拟交付的服务，OLA定义为交付服务所需的内部支持。(B) SLA面向外部客户，OLA面向内部客户。(C) SLA具有法律约束力，OLA是可选的最佳实践。(D) SLA定义服务级别要求，OLA定义服务级别指标。14、根据互联网信息服务管理办法的要求，国家对于经营性互联网信息服务实行 ()。(A) 备案制度(B) 许可制度(C) 行政监管制度(D) 备案与行政监管相结合的管理制度15、关于ISO/IEC2OOOO-1: 2011体现的ITIL“4P”要素，以下说法正确的是()(A) 人员、过程、伙伴、供方(B) 人员、过程、产品、技术(C) 人员、过程、产品、伙伴(D) 人员、产品、技术、伙伴16、运用密码技术对信息系统进行系统等级保护建设和整改的，必须釆用经国家密码 管理部门批准使用或者准于销售的密码产品进行安全保护，不得釆用()的密码产 品；未经批准不得采用含有加密功能的进口信息技术产品。(A) 国外引进(B) 自行研制(C) 委托研制(D) 国外引进或者擅自研制17、你是某个 IT 组织中的服务台人员，有一个用户呼叫电话说他的某个终端设备不能使用了， 请问这是()。(A) 事件(B) 已知错误(C) 问题(D) 变更请求18、关于服务级别协议(SLAs)，以下说法正确的是：()。(A) 正式的服务级别协议即服务提供方与顾客之间的服务合同(B) 服务级别协议应包括约定的服务目标、工作量特征(C) 服务级别协议仅在服务提供方与顾客之间签署，关于供方的服务则按釆购过程控 制(D) A+C。19、服务的连续性是管理一系列影响()，持续提供协定级别服务的能力。(A) 单个或多个服务的脆弱点和事件(B) 仅是单个服务的风险和事件(C) 单个或多个服务的风险和事态(D) 单个或多个服务的风险和事件20、只有能够()信息方可作为审核证据。(A) 确定的(B) 验证的(C) 证实的(D) 可追溯的21、配置管理数据库(CMDB)中的哪个属性有助于查明某个时刻的哪些配置项正在进行 维护？(A) 购买日期(B) 责任人(Owner)(C) 位置(D) 状态22、观察员应承担由审核委托方和受审核方()与健康安全相关的义务。(A) 规定的(B) 法定的(C) 约定的(D) 确定的23、可用性是安全管理过程要实现的目标之一。以下哪项正确地说明了“ 可用性”这 个术语的含义。(A) 对数据的保护以防止未经授权的访问和使用(B) 按授权访问数据的能力(C) 验证数据正确性的能力(D) 对数据安全存储保护，每天做数据校验24、散步图是()。(A) 描述成对变量之间关系的图。(B) 描述若干变量之间线性关系的图。(C) 描述一组变量按正态函数分布的图。(D) 描述一组变量按时间分布的图。25、认证审核期间，当审核证据表明审核目的不能达到时，审核组应：()(A) 一起讨论 ，决定后续实施(B) 审核组长权衡，决定后续措施(C) 由受审核方决定后续措施(D) 报告审核委托方并说明理由，确定后续措施26、审核组无权变更的事项包括()。(A) 审核组资源分配。(B) 审核目的、范围、准则。(C) 审核路线。(D) 以上都不对。27、我国法律法规执行顺序为()。(A) 法律、部门规章、地方政府规章、行政法规(B) 法律、行政法规、部门规章或地方政府规章(C) 法律、部门规章、行政法规、地方政府规章(D) 法律、地方政府规章、部门规章、行政法规注：法律行政法规 地方法规 地方规章28、信息系统安全等级保护中密码的()等，应当严格执行国家密码管理的有关规定。(A) 配备、保管和管理(B) 生产、使用和管理(C) 配备、使用和管理(D) 配备、使用和更新29、以下不属于单点故障的情况是()(A) 巡检时发现的唯一故障(B) 所有服务器使用一台UPS供电，数据中心仅有此一台UPS(C) 所有的IT设备使用一条专线联网，由于带宽资源充足故未构建其他线路(D) 所有机房使用同一条供电线路30、下列情况一定属于新变更服务的是()。(A) 银行新网银系统的应用。(B) 航空公司售票系统的更新。(C) 医院挂号系统上线。(D) 铁路线下售票服务撤销。二、多选题(每题 2分，共 20分，请将正确的答案序号添入括号内。)31、当不能正常进入服务场所时，应可以获得()。(A) 服务连续性计划(B) 联系人名单(C) CMDB(D) 应急资源32、服务提供方应确保事件和服务请求流程相关人员能够访问和使用相关信息，相关 信息包括( )(A) 事件和服务请求管理程序(B) 已知错误(C) 问题解决方案(D) 配置管理数据库33、关于商用密码技术和产品，以下说法正确的是()(A) 任何组织不得随意进口密码产品，但可以出口商用密码产品(B) 商用密码技术属于国家秘密(C) 商用密码是对不涉及国家秘密的内容进行加密保护的产品(D) 商用密码产品的用户不得转让其使用的商用密码产品34、审核证据是指()。(A) 与审核准则有关的信息(B) 经证实的信息(C) 可通过访谈、查阅文件记录、现场观察获得(D) 基于客观事实35、服务提供方应与顾客对()和硬件的发布和部署进行策划。(A) 组件(B) 服务(C) 软件(D) 系统36、首次会议的目的是()(A) 确认所有有关方(例如受审核方、审核组)对审核计划的安排达成一致(B) 介绍审核组成员(C) 确保所策划的审核活动能够实施(D) 针对实现审核目标的不确定因素而釆取的特定措施37、对于业务关系管理，下列哪些活动是必须的()(A) 指定专职人员管理客户关系和客户满意度(B) 定期对客户进行拜访，了解其需求(C) 了解所有客户的满意程度(D) 对服务投诉进行记录和调查38、服务提供方应在服务管理策划中定义和包含服务管理体系(SMS)的范围，考虑 下列哪些因素？ ( )(A) 客户和他们的位置(B) 用于提供服务的技术(C) 已知知识(D) 服务提供交付服务的地理位置39、信息技术服务管理体系审核的范围即()(A) 组织的全部经营管理范围(B) 组织的全部信息技术服务管理范围(C) 组织根据其业务、组织、位置、资产和技术等方面的特性确定的信息技术服务 管理体系范围(D) 组织承诺按照GB/T24405.1标准要求建立、实施和保持信息技术服务管理体系 的范围40、关于配置管理，以下说法正确的是()。(A) 个配置项可以同时是任何其他配置项的一部分。(B) 选择合适的配置项颗粒度可在可用性和可控制水平上达到平衡。(C) 配置管理是资产管理的一部分。(D) 配置管理是变更管理的结果。二、阐述题4一1、举例说明如何在审核过程中采取跟踪的方法，举例场景为在交流过程中了解到的 个需要解决问题的服务请求。答：举例场景：在审核某公司中发现一个需要解决电脑不能上网的服务请求。1、查 不能上网这个服务请求是否在服务级别管理下，是否在签订的服务水平协议 SLAs中，是否在约定目标和工作量特征和特征内。2、查 公司是否按 SLAs 制定了事件和服务请求管理程序，本次服务请求是否在管 理程序下 ，同时 对所有的事件进行了记录、分配优先级、分类、记录更新、升级、 解决、关闭。3、查 处理电脑不能上网的记录，是否在分配优先级中考虑了影响和紧急程度。4、查 此请求是否为与客户约定的重大事件，是否有重大程序管理程序，如满足重 大事件定义， 是否启动重大事件管理程序，进行的相应管理与分类，汇报公司最高 管理层等，如事件最终已关闭，是否进行过评审，查评审记录。5、在处理电脑不能上网的服务请求中，相关人员是否能访问和使用服务请求管理程 序、已知错误 、问题解决方案和配置管理数据库等相关信息。6、如有对此请求有相关发布和部署信息的信息，查是否能被事件和服务请求管理过 程采用。7、查此请求的相关处理记录是否被更新，无论关闭与否，是否按程序告知顾客关于 此服务的处理进展情况。8、查请求是否解决，是否按服务请求管理程序得到关闭，如果约定的服务指标不能 达到 ，是否通知顾客和相关方，按程序升级处理。9、如此请求未解决并升级到问题处理，是否有问题管理程序进行处理，并分析此类 请求的数据和趋势42、请阐述变更管理过程与其他过程的关系流程关系需要结合关系图进行文字部分的阐述。M2 “K1KA堆】:11四、案例分析题43、A公司为其客户提供生产数据平台运维服务，按双方合同，顾客要求需保障该 平台可用性99%，年宕机时间不大于8小时，A公司使用B公司的云基础设施资 源，支持该生产数据平台的运行，查 A 公司与 B 公司之间的服务合同，规定 B 公司应保障基础设施年可用率为 90%，故障响应时间 2 小时， 没有有关中断解决 的要求。答：不符合项事实：A公司在与其顾客提供运维服务合同中有相关可用性、中断解 决时间要求等约定，而 A 公司与其供方 B 公司的合同中可用性指标未达到与顾客 的约定，宕机时间未作要求。不符合条款：不符合 ISO/IEC 20000-1 标准中 7.2 供方管理：服务提供方应与供 方就服务级别达成一致，以支持服务提供方和顾客之间的服务级别协议并与之保持 一致。不符合项 严重程度：一般不符合44、ABC 科技有限公司在内部审核时，针对不同部门，组成审核组。在对技术服务部 进行审核时，由市场部经理任审核组长，技术服务部副经理任组员，因为他们对技术 服务部的工作过程、业务和人员等最为了解。答：不符合项事实：査在对技术服务部进行内审时，存在审核员审核自己工作的情 况。不符合条款：不符合 ISO/IEC 20000 4.5.4.2 “审核员不应该审核自己的工作” 不符合项 严重程度：一般不符合45、按照安全备份策略，需要每天对主机的数据做增量备份，每周做一个全备份，并 且要求备份管理员每天检查备份完成情况，审核时发现，备份日志中存在大量错误日 志，表明这些系统的备份没有能够成功，这些错误日志已经持续出现超过 2 周。当 问及管理员如何处理这些错误时，管理员说，不用处理，因为这些错误总是出现 ， 到现在也没出什么事情，所以肯定没有问题。答：不符合项事实：现场审核发现，按备份策略规定做主机备份时，备份日志出现大 量错误超过 2 周，而管理员未做任何处理不符合条款：不符合 ISO/IEC 20000-1 标准中 8.2“服务提供方应分析事件和问题 的数据和趋势 ，以识别根本原因和潜在的预防措施”不符合项 严重程度：一般不符合46、审核员在GH公司审核时发现，GH为顾客提供TCC业务系统的运维，合同中规 定GH公司应在顾客提出要求时为顾客提供系统巡检服务，运维经理告诉审核员，上 一年度共提供巡检服务 6 次，审核员询问巡检的内容、范围、要求等在哪里有规 定，运维经理解释说：“这种巡检服务都是顾客临时想做的时候找我们做，合同里没 办法具体规定。”答：不符 合项事实：GH为顾客提供TCC业务系统的运维，合同中规定GH公司应 在顾客提出要求 时为顾客提供系统巡检服务，但未对巡检的内容、范围、要求和频 次做出规定。不 符合条 款：不符合 ISO/IEC 20000-1 标准中 6.1“SLAs 应包括约定的服务目 标，工作量特征和特殊情况”不符合项 严重程度：一般不符合47、审核员现场检查网络维护项目提出的网络频繁堵塞问题，网络管理员提交了问题 申请 ，问题管理员受理并形成了问题处理报告，审核员看到针对该问题已经更换 了一台路由器，询问是否提交变更请求，管理员说因为时间非常紧急，就现场立刻更 换设备了 。答 ：不符合项事实：查网络维护项目的问题处理报告，已经更换了一台网络路由 器，但现场未能提出该设备实施变更的变更请求。不 符合条款：不符合 ISO/IEC 20000 9.2 “对服务或服务组件的所有变更应通过 变更请求发起 ”不符合项 严重程度：一般不符合