一、单选题
1、关于ITSMS范围的确定,以下论述正确的是()。
A、应考虑业务活动过程及其边界
B、应考虑组织单元、组织的物理位置
C、应考虑组织的资产和技术
D、以上全部
2、ISO/IEC20000-1:2011中所指内部团体是()。
A、IT服务提供方组织内,除IT服务交付团队的所有其他职能部门
B、IT服务提供方组织内,按项目划分的不同服务交付团队
C、服务提供方组织内,按与服务交付团队的协议参与服务设计等活动的职能部门
D、以上都对
3、从审核开始直到审核完成,()都应对审核的实施负责。
A、管理者代表
B、审核方案人员
C、认证机构
D、审核组长
4、IT服务管理中,以下不属于变更管理过程应予以管理的范围()。
A、与供方的合同变更
B、用于服务连续性目的的固件升级
C、事件中为复原一项服务需紧急更换CPU
D、对于依赖IT业务过程的变更
5、第三方认证审核时确定审核范围的程序是()。
A、组织提出、与审核组协商、认证机构确认、认证合同规定
B、组织申请、认证机构评审、认证合同规定、审核组确认
C、组织提出、与咨询机构协商、认证机构确认
D、认证机构提出、与组织协商、审核组确认、认证合同规定
6、对于个人信息的使用,除法律法规另有规定外,应()。
A、得到个人信息主体的同意并按约定时间及时删除
B、得到个人信息主体所在组织的同意,不须告知个人信息主体。
C、个人信息持有者自行决定管理措施,不须告知个人信息主体。
D、得到个人信息主体的同意并尽可能长时间保存。
7、从审核中获得的()应作为受审核组织管理体系的持续改进过程的输入。
A、审核证据
B、不符合项
C、合理化建议
D、审核发现
8、认证审核时,审核组应()。
A、在审核前将审核计划提交受审核方确认
B、在审核结束时将审核计划提交受审核方确认
C、随着审核的进展与受审核方共同确认审核计划
D、将审核计划提交审核委托方批准即可
9、第三方认证审核时,关于审核报告,以下说法正确的是()。
A、每一次审核都必须提交审核报告
B、一阶段审核结论不必确定认证注册,因此不一定提交
C、监督审核可不必审核完整体系,因此不需提交审核报告
D、基于调查性质的审核属于非正式审核,因此不需提交审核报告
10、当问题管理流程找到一个事件的真实原因和找到解决的方法,该问题应分类为()。
A、已知错误
B、已知事件
C、已知问题
D、已知原因
11、对于第三方服务提供方,以下描述正确的是()。
A、为了监视和评审第三方提供的服务,第三方人员提供服务时应有人员全程陪同
B、应定期度量和评价第三方遵从商定的安全策略和服务级别的程度
C、第三方服务提供方应有符合ITIL的流程
D、第三方服务的变更须向组织呈报以备案
12、服务提供方应监视并报告预算的支出,(),从而管理支出。
A、评审财务成本
B、评审财务预报
C、有效的财务控制和授权
D、通过变更管理过程来对服务财务变更进行评估和标准
13、关于SLA和0LA的区别和联系,以下说法正确的是()。
A、SLA定义拟交付的服务,0LA定义为交付服务所需的内部支持
B、SLA面向外部顾客,0LA面向内部顾客
C、SLA具有法律约束力,0LA是可选的最佳实践
D、SLA定义服务级别要求,0LA定义服务级别指标
14、国家对于经营性互联网信息服务实施:
A、备案制度
B、许可制度
C、行政监管制度
D、备案与行政监管相结合的管理制度
15、关注ISO/IEC20000-1:2011体现的ITIL“4P”要素,以下说法不正确的是()。
A、人员、过程、伙伴、供方
B、人员、过程、产品、技术
C、人员、过程、产品、伙伴
D、人员、产品、技术、伙伴
16、运用密码技术对信息系统进行系统等级保护建设和整改的,必须采用经国家密码管理部门批准使用或者准于销售的密码产品进行安全保护,不得釆用()的密码产品,未经批准不得采用含有加密功能的进口信息技术产品。
A、国外引进
B、自行研制
C、委托研制
D、国外引进或者擅自研制
17、一个用户通知帮助团队,说他的电脑不能正常工作,这是一个()。
A、事件
B、已知错误
C、问题
D、变更请求
18、关于服务级别协议(SLAs),以下说法正确的是()。
A、正式的服务级别协议即服务提供方与顾客之间的服务合同
B、服务级别协议应包括约定的服务目标、工作量特征
C、服务级别协议仅在服务提供方与顾客之间签署,关于供方的服务则按釆购过程控制
D、A+C
19、服务的连续性是管理一系列影响(),持续提供协定级别服务的能力。
A、单个或多个服务的脆弱点和事件
B、仅是单个服务的风险和事件
C、单个或多个服务的风险和事态
D、单个或多个服务的风险和事件
20、只有能够()信息方可作为审核证据。
A、确定的
B、验证的
C、证实的
D、可追溯的
21、配置管理数据库(CMDB)中的哪个属性有助于查明某个时刻的哪些配置项正在进行维护?
A、购买日期
B、责任人(Owner)
C、位置
D、状态
22、观察员应承担由审核委托方和受审核方()与健康安全相关的义务。
A、规定的
B、法定的
C、约定的
D、确定的
23、可用性是安全管理流程要实现的目标之一。以下哪项正确地说明了“可用性”这个术语的含义()。
A、对数据的保护以防止未经授权的访问和使用
B、按授权访问数据的能力
C、验证数据正确性的能力
D、对数据安全存储,每天做数据检验
24、散布图是()。
A、描述成对变量之间关系的图
B、描述若干变更之间线性关系的图
C、描述一组变更按正态函数分布的图
D、描述一组变更按时间分布的图
25、认证审核期间,当审核证据表明审核目的不能达到时,审核组应()。
A、一起讨论,决定后续实施
B、审核组长权衡,决定后续措施
C、由受审核方决定后续措施
D、报告审核委托方并说明理由,确定后续措施
26、审核组无权变更的事项包括()。
A、审核组资源分配
B、审核目的、范围、准则
C、审核路线
D、以上都不对
27、我国法律法规执行顺序为()。
A、法律、部门规章、地方政府规章、行政法规
B、法律、行政法规、部门规章或地方政府规章
C、法律、部门规章、行政法规、地方政府规章
D、法律、地方政府规章、部门规章、行政法规
28、信息系统安全等级保护中密码的()等,应当严格执行国家密码管理的有关规定。
A、配备、保管和管理
B、生产、使用和管理
C、配备、使用和管理
D、配备、使用和更新
29、以下属于单点故障的情况是()。
A、巡检时发现的唯一故障
B、所有服务器使用一台UPS为供电,数据中心仅有此一台UPS
C、所有的IT设备使用一条专线联网,由于带宽资源充足故未构建其他线路
D、B+C
30、下列一定属于新变更服务的是()。
A、银行新网银系统应用
B、航空公司售票系统更新
C、医院挂号系统上线
D、铁路线下售票服务撤销
二、多选题
31、当不能正常进入服务场所时,应可以获得()。
A、服务连续性计划
B、联系人名单
C、CMDB
D、应急资源
32、服务提供方应确保事件和服务请求流程相关人员能够访问和使用相关信息,相关信息包括()。
A、事件和服务请求管理程序
B、已知错误
C、问题解决方案
D、配置管理数据库
33、关于商用密码技术和产品,以下说法正确的是()。
A、任何组织不得随意进口密码产品,但可以出口商用密码产品
B、商用密码技术属于国家秘密
C、商用密码是对不涉及国家秘密的内容进行加密保护的产品
D、商用密码产品的用户不得转让其使用的商用密码产品
34、审核证据是指()。
A、与审核准则有关的信息
B、经证实的信息
C、可通过访谈、查阅文件记录、观察现场获得
D、基于客观事实
35、服务提供方应与企业对()和硬件的发布进行策划
A、组件
B、服务
C、软件
D、系统
36、首次会议的目的是()。
A、确认所有有关方(例如受审核方、审核组)对审核计划的安排达成一致
B、介绍审核组成员
C、确保所策划的审核活动能够实施
D、针对实现审核目标的不确定因素而采取的特定措施
37、对于业务关系管理,下列哪些活动是必须的()。
A、指定专职人员管理客户关系和客户满意度
B、定期对客户进行拜访,了解其需求
C、了解所有客户的满意程度
D、对服务投诉进行记录和调查
38、服务提供方应在服务管理策划中定义和包含服务管理体系(SMS)的范围,考虑下列哪些因素?()
A、客户和他们的位置
B、用于提供服务的技术
C、已知知识
D、服务提供方交付服务的地理位置
39、信息技术服务管理体系审核的范围即()。
A、组织的全部经营管理范围
B、组织的全部信息技术服务管理范围
C、组织根据其业务、组织、位置、资产和技术等方面的特性确定的信息技术服务管理体系范围
D、组织承诺按照ISO/IEC20000-1标准要求建立、实施和保持信息技术服务管理体系的范围
40、关于配置管理,以下说法正确的是()。
A、一个配置项可以同时是任何其他配置项的一部分
B、选择合适的配置项颗粒度可在可用性和可控制水平上达到平衡
C、配置管理是资产管理的一部分
D、配置管理是变更管理的结果
三、填空题
41、举例说明如何在审核过程中采取跟踪的方法。举例场景为在交流过程中了解到的一个需要解决问题的服务请求。
参考答案:举例:审核服务提供方服务台事件记录日志,发现其服务的顾客提出了事件或服务请求。 跟踪审核如下: 1)根据ISO/IEC20000标准要求,是否对事件清晰的进行了记录,是否对事件的紧急情况和影响进行了排序,是否对事件进行了分类处理,事件记录的更新信息,特别需要去查本周期内是否有事件未得以解决而进行的升级处理,是否升级为重大事件,按重大事件管理流程进行实施,包括通知最高管理者,是否有专人负责重大事件的处理。事件是否得到了解决,进行了正式的关闭。在这些过程中是否适当与客户进行了通报情况的处理情况。 在事件管理环节中,是否可以获取到事件或服务请求管理流程、已知的错误、解决的问题和配置配置管理数据库。如果无法获取,应跟踪审核配置管理流程对CMDB的处理。 2)对服务台获取的事件或服务请求继续跟踪问题管理流程,是否对事件所涉及的问题进行了识别、记录是否清楚、对问题进行了排序、分类,对问题是否有近一步的升级处理,以及问题的解决处理过程以及关闭过程的处理跟踪。问题管理流程中是否对近周期内的事件进行了数据分析和趋势分析,是否形成了分析报告。以及问题所需的配置项(CI)变更应通过提交变更请求解决。 3)继续跟踪变更请求的变更流程处理过程,例如:对变更请求进行记录和分类,记录后是否进行了变更项的评估,评估过程的记录是否保留,评估过程是否考虑了风险、对服务和客户潜在的冲击、服务需求、业务收益、技术便利性和财务影响。评估后是否对变更内容进行了开发和测试,查相关的开发或测试记录。 4)跟踪配置管理或发布部署流程,当批准变更后,应将服务请求的相关变更内容传递给发布和部署流程,进行发布和部署,并且提交配置管理过程进行修改CMDB。
42、请阐述变更管理过程与其他过程的关系。
参考答案:首先,变更管理流程的范围由配置管理和发布管理决定。配置管理为获取变更影响提供信息。变更执行后,配置管理将会更新配置管理数据库。 变更管理的相关信息的获取也来自于事件管理、问题管理、服务级别管理、可用性管理、能力管理、客户等。以上任何一个流程的变化,都会生成变更请求,由变更管理过程进行记录、分类、规划、创建、实施这些变更内容。然后输出到配置管理及发布和部署管理流程中进行发布和修改配置管理数据库。 事件管理、问题管理流程中,服务台接顾客的事件和服务请求信息,转入事件和问题管理流程进行处理和分析,为彻底解决事件和问题的影响,必须涉及配置项的变更,此时,需要变更管理流程根据现有CMDB的情况,做出是否进行变更的评估决定,确认变更后,转入配置管理流程,对配置管理数据库的配置项进行修改操作。 服务级别管理流程中,由于顾客或服务提供方的变化,导致产生了新的服务需求或需变更的服务需求,形成变更请求后转入变更管理流程,评估后实施变更。 其他流程类似,会形成变更请求(RFC),输入到变更管理流程。 其次,任何流程不可随意对配置项进行善自修改,必须经过变更管理流程对变更请求予以评估变更的风险,包括定应考虑风险、对服务和客户潜在的冲击、服务需求、业务收益、技术便利性和财务影响等内容。评估后对需要实施的变更进行开发和测试,方可实施变更。
四、简答题
43、A公司为其顾客提供生产数据平台运维服务,按双方合同,顾客要求须保障该项平台可用性99%,年宕机时间不大于8小时,A公司使用B公司的云基础设施资源支持该生产数据平台的运行,查A公司与B公司之间的服务合同,规定B公司应保障基础设施年可用率为90%,故障响应时间2小时,没有有关中断解决的要求。
参考答案:不符合条款:ISO/IEC20000-1:2011标准7.2条款“服务提供方应与供应商协定服务级别,以支持服务提供方与客户订立的SLAs,并保持一致。” 不符合事实:A公司与顾客约定的服务级别为:该项平台可用性99%,年宕机时间不大于8小时,而A公司在与供应商B公司签订的服务合同中未规定中断解决的相关要求。
44、ABC公司在内部审核时,针对不同部门,组成审核组,在对技术服务部进行审核时,由市场部经理任审核组长,技术服务部副经理任组员,因为他们对技术服务部工作过程业务和人员等情况最为了解。
参考答案:不符合条款:ISO/IEC20000-1:2011标准4.5.4.2条款“审核员的选择和审核的实施应确保审核过程的客观性和公正性。审核员不应该审核自己的工作。” 不符合事实:查公司内部审核时发现,技术服务部副经理审核了技术服务部。
45、按照安全备份策略,需要每天对主机的数据作增量备份,每周做全备份,并且要求备份管理员每天检査备份完成情况,审核时发现,备份日志中存在大量错误日志,表明某些系统的备份没有成功,这些错误日志已经持续超过2周。当问及管理员如何处理这些错误时,管理员说,不用处理,因为这些错误总是出现,到现在也没出什么事情,所以肯定没有问题。
参考答案:不符合条款:ISO/IEC20000-1:2018标准8.6.3条款“组织应进行根本原因分析和确定潜在的行动,以预防事件的发生和再发生。” 不符合事实:公司备份日志中存在大量错误日志,某些系统的备份没有成功,管理员说:不用处理,因为这些错误总是出现。
46、审核员在GH公司审核时发现,GH为顾客提供TTC业务系统运维,合同中规定GH公司应在顾客提出要求时为顾客提供系统巡检服务,运维经理告诉审核员上一年共巡检6次。审核员询问巡检内容、范围、要求等在哪有规定,运维经理说:这种巡检服务都是顾客临时想做的时候找我们,合同里没办法具体规定。
参考答案:不符合条款:ISO/IEC20000-1:2011标准6.1条款“所交付的每个服务,应与客户协定在一个或多个服务级别协议(SLAs)中。当创建服务级别协议时,服务提供方应考虑服务需求。” 不符合事实:GH公司为顾客提供TTC业务系统运维服务中,合同中没有规定巡检内容、范围、要求等内容。
47、审核员现场检査网络维护项目组提出的网络频繁堵塞问题,网络管理员提交了问题申请,问题管理员受理并形成了《问题处理报告》,审核员看到针对该问题已经更换了一台路由器,询问是否提交变更请求,管理员说因为时间非常紧急,就现场立刻更换设备了。
参考答案:不符合条款:不符合ISO/IEC20000标准8.2条款“问题所需的配置项(CI)变更应通过提交变更请求解决。”不符合项事实:查网络维护项目的《问题处理报告》,已经更换了一台网络路由器,但现场未能提出该设备实施变更的变更请求。
喵呜刷题:让学习像火箭一样快速,快来微信扫码,体验免费刷题服务,开启你的学习加速器!
