一、单选题
1、ITSMS认证时,关于远程审核,以下说法正确的是()。
A、初次认证不允许远程审核
B、为提高效率应尽可能釆用远程审核
C、在审核计划中说明远程审核的方式和时间比例
D、受审核方确定远程审核的时间比例
2、有时候我们需要暂时离开计算机,但经常又会忘记了锁定系统时,可以设置()口令。
A、CMOS
B、系统账户登录
C、锁屏锁定
D、锁定
3、发布管理与最终硬件库(DHS)有关,下列哪种说法最符合描述DHS?()。
A、最终硬件库是一个数据库,里面记录所有最终硬件配置项
B、在建立最终硬件库之前,应该首先购买一个工具,这个工具用来将硬件发布到实际运营环境中
C、最终硬件库是一个区域,用来安全的存储最后多余的硬件
D、最终硬件库是基线存储的物理位置
4、供应商管理应就供应商所提供服务的()与所有相关方达成一致。
A、要求、范围、服务级别和服务过程
B、要求、范围、服务团队和沟通过程
C、要求、服务响应时间、服务级别和沟通过程
D、需求、范围、服务级别和交流过程
5、一顾客在某网络交易平台购物,下单后,银行卡帐户显示扣款成功,但交易面面显示未付款,该顾客要求网络交易平台予以解释,该网络交易平台顺序做了以下工作。1)客服人员安抚该顾客,并解释该问题已传递到IT工程师A进行解决,将随时向顾客更新解决状态;2)IT工程师A查系统日志,确认是划款信息路径错误,进行了更正,并将结果告知客服人员;3)工程师B进行了测试,发现是系统BUG,暂时关闭了此类交易,随后修补了BUG,对应ISO/IEC20000-1:2011标准,请问以下说法正确的是()。
A、客服人员以及工程师A完成的是事件和服务请求处理。工程师B完成的是问题处理。
B、客服人员完成的是事件和服务请求处理。工程师A完成的是问题在于处理,工程师B完成的是问题升级处理。
C、客服人员以及工程师A完成的是事件和服务请求处理。工程师B完成的是问题处理、变更、发布和部署。
D、客服人员完成的是一线事件和服务请求处理。工程师A完成的是二线事件和服务请求处理。工程师B完成的是三级事件和服务请求处理。
6、关于事件和服务请求管理,以下说法不正确的是()。
A、必要时制定从记录到关闭的全过程程序
B、根据事件或服务请求的紧急程度,确定事件和服务请求的优先顺序
C、与客户约定事件和服务请求的定义
D、与客户约定对服务的访问权限
7、关于服务连续性计划,某个灾难的严重程度取决于()。
A、灾难持续的天数
B、恢复灾难可用的人员数量
C、灾难的类型,如洪水、火灾等
D、对客户业务的影响
8、认证审核初审时,可以不进行第一阶段现场审核的条件之一是:
A、审核组考虑时间效率可用一个阶段审核完成所有的审核准则要求
B、审核组长已充分了解受审核方的信息安全管理过程
C、受审核方认为一个阶段的审核能完成全部审核要求
D、不允许第一阶段不进行现场审核的情况
9、审核员应在从事审核活动时展现()。
A、职业素养
B、知识技能
C、专业技能
D、文化素养
10、依据《中华人民共和国网络安全法》应予以保护的个人信息包括()。
A、自然人身份证号码
B、自然人姓名、住址信息
C、自然人DNA与指纹信息
D、以上全部
11、以下符合“阈值"定义的是()。
A、4小时内未解决的优先级为1的事件
B、1小时内出现5次磁盘错误
C、一个月内超过10次失败的变更
D、以上全部
12、国家信息安全等级保护釆取()。
A、自主定级、自主保护的原则
B、国家保密部门定级、自主保持的原则
C、公安部门定级、自主保护的原则
D、国家保密部门定级、公安部门监督保护的原则
13、在规定时刻或规定时间段内,部件或服务执行要求功能的能力是()。
A、连续性
B、可用性
C、基线
D、发布
14、在规划服务管理体系时,服务提供方需要考虑使用下列哪个文档?()
A、初次认证审核报告
B、信息安全策略
C、管理评审日程安排
D、服务管理方针
15、ISQ/IEC20000-1标准的范围声明是很重要的,因为()。
A、它定义了管理体系根据什么予以认证
B、它详细描述了所有已被认证的公司
C、它详细描述了所有已被认证的服务
D、它确定了哪些流程已超出了范围
16、ITSMS认证机构应确保客户组织通过其()以及其他适用的方面清晰界定其ITSMS的范围和边界。
A、所提供的服务、交付服务的地点、服务提供所用的技术
B、组织单元、所提供的服务、交付服务的地点、服务提供所用的技术
C、针对每个客户组织建立审核方案,并对审核方案进行管理
D、宜说明拟在审核中使用的远程审核技术
17、当审核计划有规定时,具体的审核发现应包括具有()、改进机会以及对受审核方的建议。
A、证据支持的审核证据
B、可以验证的记录或事实陈述
C、经过确认的审核记录
D、证据支持的符合事项和良好实践
18、当有建立合同关系的意向时,到供方进行体系评价是()。
A、第一方审核
B、第二方审核
C、第三方审核
D、以上都不是
19、管理体系是()。
A、应用知识和技能获得预期结果的本领的系统
B、可引导识别改进的机会或记录良好实践的系统
C、对实际位置、组织单元、活动和过程描述的系统
D、建立方针和目标并实现这些目标的体系
20、()将一项合同变更作为一份授权合同的主要评估结果。
A、通过业务关系管理流程
B、通过变更管理流程
C、通过客户代表
D、通过供应商管理流程
21、审核组中的技术专家是()。
A、为审核组提供文化、法律、技术等方面知识咨询的人员
B、特别负责对审核方的专业技术过程进行审核的人员
C、审核期间为受审核方提供技术咨询的人员
D、从专业角度对审核员的审核进行观察评价的人员
22、与审核准则有关并能够证实的记录,事实描述或其他信息是指()。
A、审核发现
B、审核证据
C、审核结论
D、审核准则
23、以下属于信息技术服务管理体系审核发现的是()。
A、审核员看到的事件处理的过程资料
B、审核员看到的信息系统资源阈值
C、审核员看到的问题处理与问题管理控制要求相符
D、审核员看到的项目质量保证活动与CMMI过程的符合性
24、依据ISO/IEC20000-1:2011标准进行第三方认证监督审核时,以下说法正确的是()。
A、与IT服务改进相关的过程每次监督必须审核
B、因初审时已审核过ITSMS的策划,因此监督审核时不必再审核第4章和第6章
C、如果受审核方保持每月向顾客提交服务报告,7.1可不必再审核
D、针对7.2的审核可替代针对4.2的审核
25、ISO/IEC20000-1:2011标准中的供方是指()。
A、服务提供方组织的一部分,与服务提供方签订书面协议共同参与某项或多项服务的设计、转换、交付和改进
B、服务提供方之外的组织或服务提供方组织的一部分,与服务提供方签订合约共同参与某项或多项服务的设计、转换、交付和改进
C、在最高层指导和管控服务提供方的人员或团队
D、负责管理服务和向客户交付服务的组织或组织的某个部分
26、IT服务管理中所指“升级(escalation)”即()。
A、针对用户计算机系统实施的升级,包括软件升级以及硬件升级
B、为了满足服务级别目标而执行的流程,包括职能性升级和管理性升级
C、针对特定顾客提升其服务质量等级的活动,如升级至“金牌服务”
D、为了提高顾客满意度而提请更高级管理者与顾客对话的活动
27、国家对计算机信息系统安全专用产品的销售实行的管理制度是()。
A、许可证制度
B、备案制度
C、申报与审批制度
D、测评、认证与审批制度
28、若word文件设置的是“修改文件时的密码”,那么打开该文档时若不输入密码,就会()。
A、以普通方式打开文档,允许对文件修改
B、不能打开文档
C、不断出现提示框,直到用户输入正确密码为止
D、以只读的方式打开文档
29、服务级别协议应处于()的控制之下。
A、能力管理过程
B、变更管理过程
C、业务关系管理过程
D、事件管理过程
30、服务提供方需要通过()来监视和测量服务管理体系和服务。
A、管理评审和关键绩效指标
B、监督审核和管理评审
C、内部审核和管理评审
D、内部审核和关键绩效指标
二、多选题
31、服务提供方应分析信息安全事件的()。
A、类型
B、数量
C、优先级别
D、冲击
32、服务提供方应实施服务管理计划,以管理并交付服务,包括()。
A、角色和职责的分配
B、团队的管理,例如,补充并培养适当的人员,对人员的连续性进行管理
C、整个组织的改进或多个过程的改进
D、包括服务台的服务运行组在内的团队的管理
33、每个配置项记录的信息应确保是有效控制的,并至少包含()。
A、配置项的描述
B、相关的变更请求
C、配置项和其他配置项之间的关系
D、配置项和服务组件之间的关系
34、审核计划应包括或涉及下列内容()。
A、审核范围,包括受审核的组织单元、职能单元以及过程
B、实施审核活动的地点、日期、预期的时间和期限,包括与受审核方管理者的会议
C、为审核的关键区域配置适当的资源
D、确保策划的审核活动能够实施
35、服务请求是()。
A、请求提供信息,预先核准的变更
B、请求提供建议,访问某个服务的变更
C、客户和用户对服务的需求,包括服务级别的要求以及对服务提供方的要求
D、为客户提供单个或多个服务的组织或组织的一部分
36、第三方认证审核时,对于审核提出的不符合项,以下错误的是()。
A、与受审核方共同评审不符合项以确认不符合的条款
B、与受审核方共同评审不符合项以确认不符合事实的准确性
C、与受审核方共同评审不符合项以确认不符合的性质
D、与受审核方共同评审不符合项以确认不符合的责任部门
37、配置管理包括()。
A、应建立变更管理方针,明确变更管理控制下的配置项
B、每种类型的配置项应有书面的定义
C、配置项应是唯一可识别的,并记录在CMDB中
D、应有书面的程序记录,控制和跟踪配置项的版本
38、针对获证组织扩大范围的审核,以下说法正确的是()。
A、可以和监督审核一起进行
B、是监督审核的形式之一
C、一种特殊审核
D、只能在再认证时才能扩范围
39、ISO/IEC20000-1:2011标准中要求升级程序的管理过程包括()。
A、数据库升级管理
B、事件管理
C、问题管理
D、客户投诉管理
40、IT服务管理中,以下哪些是必须明确的事项?()
A、角色
B、部门设置
C、活动
D、职责
三、填空题
41、某数据托管中心工程师在夜间进行数据库维护时,疲惫中不慎删除了95%的生产运行数据,造成相关方业务中断,当该托管中心工程师试图使用备份数据进行恢复时,发现事前设置的5套数据备份机制均因设置不正确而未能可靠运行。请依据ISO/IEC20000-1:2011标准针对此场景进行分析,该数据托管中心至少实施哪些控制,可降低此类风险?
参考答案:应从以下几点予以控制: 1)数据托管中心是否制定了、实施和维护服务连续计划和可用性计划?查看计划中是否涉及了a)服务重大损失情况下要执行的程序,或对程序的引用;b)计划启动时的可用性目标;c)恢复要求;d)返回正常工作状态的方法;服务连续性计划应至少包含可用性要求和目标。当计划变更时,是否要经过变更管理控制,并且应评估变更需求的影响。 2)服务的连续性和可用性的监视和测试环节,针对服务连续性的要求,服务连续性计划应被测试其可用性。当服务环境发生重大变化时,服务连续性和可用性计划是否进行了重新测试。测试的结果是不是进行了正式记录,在测试后,是否实施了评审。当发现问题和不足时,应采取措施并报告采取的措施。 3)数据托管中心是否考虑了信息安全的风险评估,是否按计划的时间间隔进行。是否评估了信息安全措施的有效性。 4)当此次事件发生后,是否对数据托管中心的工作进行了改进。改进措施是否根据目标测量实施的改进。
42、审核员在项目部查看了去年的事件管理记录共20项,其中有17项已经按照程序要求,进行了业务影响分析、分类、更新、升级、解决和正式关闭。但有3项时间没有正式关闭,审核员据此开了不符合项,并结束了此项的审核。这样的审核是否符合要求?为什么?如果您去审核,您会怎么做?
参考答案:不符合要求。审核员未了解3项事件管理记录没有正式关闭的原因和状态。应该检査管理程序对事件管理关闭的要求,检查是否按程序要求进行相应和关闭,如3项记录在正常处理流程中不应开具不符合,应该抽样3~5份处理记录,检查是否根据管理程序要求的步骤、时间、程序进行了关闭或处理,检査相关文件信息。
四、简答题
43、查公司技术服务部服务级别中,进行了事件和服务请求变理,并直接修改了对事件相关的配置项进行了修改,问配置数据库管理员是否与客户进行了确认,只做了口头商量,就直接修改了。
参考答案:不符合ISQ/IEC20000-1:2011标准9.2条款 不符合项事实:査公司技术服务部服务级别,进行了事件和服务请求变更,只做了口头商量,就直接修改了。
44、审核员从网络管理员那里了解到,文件服务器在最近一个月的每个星期五早上都会非预期的自动重启,网络管理员解释说不清楚原因,对业务影响不大,也就没必要采取进一步的措施。
参考答案:不符合条款:ISO/IEC20000-1:2011“服务提供方应分析事件和问题的数据和趋势以识别根本原因和潜在的预防措施”. 不符合项事实:查文件服务器每周五早上定期自动重启,但未能识别问题及其根本原因,并提出问题的解决方案。
45、审核员在现场审核时,发现技术服务事业部经理手中的《IT服务管理手册》为1.0版,而客户服务部使用的《IT服务管理手册》为2.0版。
参考答案:不符合条款:ISO/IEC20000中4.3.2e)“确保在使用处可获得有关版本的使用文件。”
46、查公司IDC机房《门禁异动登记表》发现客户张某仅登记了授权开始时间为2017年11月20日,未登记授权结束日期,登记表中访问原因栏只登记了“因工作需要”,未写明具体工作内容。
参考答案:不符合ISO/IEC20000-1:2011标准6.6.2a)条款“服务提供方应实施和运行物理的、管理的和技术的信息安全控制措施以便于:a)保护信息资产的机密性、完整性和可访问性;”
喵呜刷题:让学习像火箭一样快速,快来微信扫码,体验免费刷题服务,开启你的学习加速器!
