一、单项选择题(从下列每小题列出的四个备选答案中,选出一个最恰当的答案,错选、不选均不得分,每题1.5分,共60分)
1.根据ISO/IEC 20000-1:201 8标准,服务的生命周期过程不包括( )。
(A)转换和交付
(B)外包与分担
(C)持续改进
(D)策划和设计
2.云服务商提供laaS服务,不适宜作为服务方配置项的是( )。
(A)物理网络服务
(B)物理存储设备
(C)虚拟服务器
(D)OA应用软件
3.阐明所取得的结果或提供所完成活动的证据的是文件是( )。
(A)报告
(B)记录
(C)演示
(D)协议
4.在发布一个软件升级,修复某个已知错误后,哪个流程能确保配置信息被正确更新( )。
(A)变更管理
(B)发布管理
(C)配置管理
(D)问题管理
5.目前信息技术服务管理体系的认证周期为( )。
(A)2年
(B)3年
(C)4年
(D)根据实际情况确定
6.对于IT服务交付中涉及的信息安全,以下说法正确的是( )。
(A)若IT服务提供方获得了ISMS认证,可以默认ISO/IEC 20000-1标准6.6条已满足要求
(B)审批信息安全策略及遵从这些策略的重要性应与顾客和相关方沟通
(C)信息安全策略不应披露给供方人员
(D)信息安全策略是对IT服务方人员的要求,与顾客及供方等没有关系。
7.( )能够帮助确定问题影响水平。
(A)最终介质库( DML )
(B)配置管理数据库( CMDB )
(C)需求申明( SOR )
(D)标准操作程序( SOP )
8.网络系统中针对海量数据的加密,通常不采用( )。
(A)会话加密
(B)非对称加密技术加密
(C)链路加密
(D)端对端加密
9.以下不属于描述性统计技术的是( )。
(A)帕累托图
(B)散布图
(C)直方图
(D)正态分布
10.《信息安全等级保护管理办法》规定,( ) 级保护时,国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。
(A)2
(B)3
(C)4
(D)5
11.ISO/IEC 20000与哪个国际标准有联合实施的指南标准( ) 。
(A)ISO 18001
(B)ISO 9000
(C)ISO/IEC 28001
(D)ISO/IEC 27001
12.管理体系是( )。
(A)应用知识和技能获得预期结果的本领的系统
(B)可引导识别改进的机会或记录良好实践的系统
(C)对实际位置、组织单元、活动和过程描述的系统
(D)建立方针和目标并实现这些目标的体系
13.作为一个或多个变更的结果,部署到实际生产环境的一个或多个新的或变更的服务或服务组件的集合是( )。
(A)SLA
(B)发布
(C)CMDB
(D)软件包
14.事件管理中以下哪项是管理性升级的活动( ) ?
(A)将一个事件的信息通知更多的高层管理者
(B)将事件转给具有更高技术水平的人解决
(C)为保持顾客满意使用尽可能多高级专家
(D)不能满足SLA中规定的事件解决时间要求
15.根据ISO/IEC 20000-6:2017标准,在决定进行第二阶段审核之前,认证机构应审查第一阶段的审核报告,以便为第二阶段选择具有( )。
(A)客户组织的准备程度
(B)客户组织的场所分布
(C)所需能力的审核组成员
(D)所需审核阶段的能力要求
16.根据ISO/IEC 20000-1:2018标准的要求,风险评估不是( ) 流程的重要构成部分。
(A)变更管理
(B)服务级别管理
(C)服务连续性管理
(D)服务可用性管理
17.以下关于安全套接层协议(SSL)的叙述中,错误的是( )。
(A)提供数据安全机制
(B)为TCP/IP连接提供数据加密
(C)是一种应用层安全协议
(D)为TCP/IP连接提供服务器认证
18.防范网络监听最有效的方法是( ) 。
(A)进行漏洞扫描
(B)采用无线网络传输
(C)对传输的数据信息进行加密
(D)安装防火墙
19.在RACI角色矩阵中有一个“R”的角色,下列哪一项是对该角色的期望( ) ?
(A)告诉其他人有关活动的进展
(B)执行一项活动
(C)通过活动的时间进度
(D)管理一项活动
20.根据《中华人民共和国计算机信息系统安全保护条例》, 对计算机病毒和危害社会公共安全的其他有害数据的防治研究工作,由( )归口管理。
(A)工信部
(B)公安部
(C)网信办
(D)国务院
21.ISO/IEC 20000系列标准中,以下哪项标准的描述不准确? ( )
(A)ISO/IEC 20000-10 ,定义了服务管理涉及的相关术语
(B)ISO/IEC 20000-2 ,提供了支持SMS运行的产品或工具的指南
(C)ISO/IEC 20000-3 ,对服务管理体系确定体系范围提供了要求
(D)ISO/IEC 20000-6 ,和CC01的作用类似,都可以作为认证机构认可的依据
22.根据ISO/IEC 20000-1:2018标准的要求,( ) 不是每个过程都需要定义的部分。
(A)输出
(B)资源
(C)输入
(D)活动
23.根据ISO/IEC 20000-1:2018标准,以下不属于最高管理层职责的是( ) 。
(A)开展风险评估
(B)批准风险偏好
(C)批准服务管理方针
(D)批准风险可接受准则
24.一个配置管理数据库( CMDB )包含不同的配置项,下列哪项一般不会被当作配置项( ) ?
(A)用户名
(B)监视器
(C)买来的软件包
(D)工作程序
25.《信息安全技术信息安全事件分类分级指南》中将信息安全事件分为( )个基本类别。
(A)5
(B)6
(C)7
(D)8
26.关于服务级别,下列说法错误的是( )
(A)服务级别应定期更新
(B)服务级别应定期评审
(C)服务级别应定期经协商
(D)服务级别应定期记录
27.租户欲终止A服务商的云服务,将应用系统迁移到B云服务商的数据中心,需终止与A服务商的SLA ,新签署与B云服务商的SLA ,根据ISO/IEC 20000-1:2018标准的要求,以下说法正确的是( ) 。
(A)二者均应遵循变更管理
(B)二者均应遵循服务级别管理
(C)终止与A服务商的SLA应遵循服务级别管理,新签署与B云服务商的SLA应遵循变更管
(D)终止与A服务商的SL A应遵循变更管理,新签署与B云服务商的SLA应尊循服务级别管理
28.以下不属于信息安全通告服务的是( ) 。
(A)威胁信息通告
(B)病毒信息通告
(C)系统升级通告
(D)漏洞信息通告
29.根据《中华人民共和国网络安全法》关键信息基础设施的运营者采购网络产品和服务,应当按照规定与提供者签订( ) 协议,明确安全和保密义务与责任。
(A)安全保密
(B)安全保护
(C)安全保障
(D)安全责任
30.《中华人民共和国计算机信息系统安全条例》规定运输、携带、邮寄计算机信息媒体进出境的,应当如实向( )申报。
(A)公安局
(B)安全局
(C)工商局
(D)海关
31.关于ISO/IEC 20000-1标准,以下说法错误的是( )。
(A)ISO/IEC 20000-1标准要求将其结构应用于组织的服务管理体系,且组织应使用标准中使用的术语
(B)ISO/IEC 20000-2提供了服务管理体系的应用指南,包括如何满足ISO/IEC 20000-1中规定要求的示例
(C)ISO/IEC 20000-1标准中的要求与常用的持续改进方法学一致,可以使用适当的服务管理工具来支持SMS
(D)采用高阶结构使组织能够协调或整合多个管理体系标准。所以,基于ISO/IEC 20000-1的服务管理体系可以与基于ISO 9001的质量管理体系或基于ISO/IEC 27001的信息安全管理体系整合
32.ISO/IEC 20000-1:2018标准中的供方是指( ) 。
(A)服务提供方组织的一部分,与服务提供方签订书面协议共同参与某项或多项服务的设计、转换、交付和改进
(B)服务提供方之外的组织或服务提供方组织的一部分,与服务提供方签订合约共同参与某项或多项服务的设计、转换、交付和改进
(C)在最高层指导和管控服务提供方的人员或团队
(D)负责管理服务和向客户交付服务的组织或组织的某个部分
33.根据ISO/IEC 20000-1:2018标准的要求,服务目录应( )。
(A)是统一所有服务描述的标准
(B)由顾客控制服务目录的访问权限
(C)是合同的附件,由顾客创建和维护
(D)描述服务、预期输出以及服务之间的依赖关系
34.以下关于SMS范围界定说法错误的是( )。
(A)SMS范围内宜只描述交付给外部顾客的服务
(B)当SMS范围内的服务设计交付给不同的顾客时,宜确保服务过程的一致性
(C)如果SMS的范围是整个组织的所有服务,那么定义SMS的范围可以是:组织提供的SMS
(D)如果组织只在SMS范围内包含其部分服务,则应定义范围以避免歧义,范围界定宜限定到交付的某个顾客,交付的某个地点
35.《信息安全技术信息安全事件分类分级指南》中的灾害性事件是由于( )对信息系统造成物理破坏而导致的信息安全事件。
(A)不可抗力
(B)自然灾害
(C)网络攻击
(D)人为因素
36.《信息安全技术信息安全事件分类分级指南》中将信息内容事件分为( )个子类
(A)4
(B)6
(C)7
(D)5
37. ( ) 指应当尽可能调查所有与投诉有关的背景和信息。
(A)投诉响应
(B)投诉终止
(C)投诉调查
(D)受理告知
38.( )是一种将后果分级与风险可能性相结合的风险分析方式。
(A)HACCP
(B)风险矩阵
(C)人因可靠性
(D)事件树分析
39.根据《互联网信息服务管理办法》要求,互联网信息服务提供者应当在其网站主页的( ) 标明其经营许可证编号或者备案编号。
(A)显著位置
(B)指定位置
(C)备案位置
(D)首页位置
40.根据《互联网信息服务管理办法》,互联网接入服务提供者应当记录上网用户的( ) 。
(A)上网时间、用户帐号、互联网地址
(B)用户帐号、上网时间、访问端口信息
(C)用户帐户、上网时间、访问内容
(D)户帐号、访问IP地址、用户计算机型号
二、多项选择题(从下列每小题列出的四个备选答案中,选出两个或两个以上最恰当的答案,错选.多选.少选或不选均不得分,每题2分,共30分)
41.关于服务目录,以下说法正确的是( ) 。
(A)服务目录应形成文件
(B)组织可以创建和维护一个或多个服务目录
(C)组织应允许其客户、 用户和其他相关方访问服务目录的有关部分
(D)服务目录应包括为组织、客户、用户和其他相关方描述服务、服务的预期结果以及服务间的依赖性相关的信息
42.根据ISO/IEC 20000-6:2017 ,以下可构成减少TSMS初审人天数的因素包括( )。
(A)拟认证的范围已获得ISO 9001认证
(B)拟认证的范围已获得ISO/IEC 27001认证
(C)已获得其他认证的范围大于或等于拟进行ITSMS认证的范围
(D)已获得的认证在最近12个月至少被经认可的认证机构审核过一次
43.根据《网络安全审查办法》,网络产品和服务主要指核心网络设备、 ( )、 云计算服务,以及其他对关键信息基础设施安全有重要影响的网络产品和服务。
(A)高性能计算机和服务器
(B)大容量存储设备
(C)大型数据库和应用软件
(D)网络安全设备
44.影响审核时间安排的因素包括( )。
(A)认证机构审核人员的能力
(B)场所的数量
(C)认证机构审核人员的数量
(D)ITSMS的范围大小
45.相关方是指对于一项与SMS或服务相关的决策或活动( )的个人或组织。
(A)能够影响
(B)被其影响
(C)认为自己受到影响
(D)无法影响
46. IT服务管理中 ,信息安全的控制措施应( ) 。
(A)由顾客制定,服务提供方组织通常没有对这些措施的访问权
(B)形成文件,并描述访问服务或系统相关的风险
(C)独立执行,不受变更管理过程的影响
(D)当评估的风险发生变化时,适当考虑信息安全控制措施变化的需求
47.某申请认证的公司提供7×24呼叫中心服务,以下说法正确的是( ) 。
(A)由于各班次服务活动是相同的,所以认证审核人天数可酌量减少
(B)由于公司提供的服务覆盖了夜班,因此认证审核人天数应酌量增加
(C)该公司认证审核总人天数可在基准数上减少30%
(D)如果该公司同时认证ITSMS和ISMS ,则审核的总人天数可减少40%
48.根据GB/Z 20986,信息破坏事件包括( )。
(A)违规使用
(B)丢失
(C)假冒
(D)篡改
49. A云服务商为B租户提供PaaS服务,租户将全部业务系统均转移到云上,租户欲实现所购买的云服务可用性目标应考虑( )。
(A)租户销售业务的可用性要求
(B)云服务商运营可能导致的SaaS服务中断的风险
(C)双方的PaaS服务的SLA
(D)租户内部管理人员对业务系统的可用性要求
50.以下属于信息安全事态或事件的是: ( )。
(A)服务、设备或设施的丢失
(B)系统故障或超负载
(C)物理安全要求的违规
(D)安全策略变更的临时通知
51.根据ISO/IEC 20000-1:2018标准的要求,当服务发生变更时,组织宜采取以下哪些措施? ( )
(A)无论是增加还是删除服务,均宜实施相应的评估
(B)对变更进行评估,确定是否需要变更SMS的范围
(C)通知认证机构变更情况,以确定是否需要对认证范围实施变更
(D)根据变更情况确定SMS的相关过程是否仍符合ISO/IEC 20000-1的要求
52.体现IT服务价值的基本要素是( )。
(A)功能和性能
(B)可用性和可靠性保障
(C)投资回报比
(D)服务要求形成文件
53.常用的云计算服务类型,包括( ) 。
(A)软件即服务
(B)邮件即服务
(C)平台即服务
(D)基础设施即服务
54.根据ISO/IEC 20000-1:2018标准的要求,关于服务设计、构建和转换,说法正确的是( ) 。
(A)受新服务或已变更服务影响的配置项(CI) , 应通过配置管理进行控制
(B)应使用发布和部署管理将已批准的新服务或变更的服务部署到运行环境中
(C)根据变更管理策略,可能对发客户或其他服务产生重大影响的新服务,采用服务设计和转换过程控制
(D)根据变更管理策略,可能对发客户或其他服务产性重大影响的服务变更,采用服务设计和转换过程控制
55.信息技术服务管理体系的范围应依据( )确定。
(A)组织的外部和内部事项
(B)组织所识别的相关的要求
(C)组织提供的服务
(D)ISO/IEC 20000-1:2018的标准要求
三、判断题(判断下列各题,正确的写√,错误的写×,填在答题纸相位置中,每题1分,共10分,不在指定位置答题不得分)
56.ISO/IEC 20000系列标准由ISO/IEC JTC1/SC27进行维护。 ( )
57.目标是要实现的结果,一定是可以量化的。 ( )
58.开展信息技术服务管理体系认证必须以正式发布的国家标准为依据。( )
59.价值流与流程是ITIL的四个维度之一。( )
60.ISO/IEC 20000-2可以与ISO/IEC 20000-1一起作为认证审核的依据。( )
61.《中华人民共和国网络安全法》中明确,国家推进网络安全社会化服务体系建设,鼓励有关企业,机构开展网络安全认证,检测和风险评估等安全服务。( )
62.ISO/IEC 20000-3标准采用了示例、指导和建议的形式,该标准不得作为规范性要求而被引用。( )
63.租户购买IaaS服务,数据存储位置可作为SLA指标。 ( )
64. 客户ERP的服务器容量需求属于需求管理。( )
65.根据《信息安全等级保护管理办法》,国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。( )
需要获取参考答案
可扫码添加客服老师微信
