2024年3月信息技术服务管理体系基础考试真题

2024年3月信息技术服务管理体系基础考试真题

一、单项选择题（每题1.5分，共60分）

1.根据ISO/IEC 20000-1:2018标准，服务的生命周期过程不包括（）。

A.持续改进

B.策划和设计

C.转换和交付

D.外包与分担

2.ISO/IEC 20000与哪个国际标准有联合实施的指南标准（）。

A.ISO 18001

B.ISO 9000

C.ISO/IEC 28001

D.ISO/IEC 27001

3.ISO/IEC 20000系列标准中，以下哪项标准的描述不准确？（）

A.ISO/IEC 20000-10，定义了服务管理涉及的相关术语

B.ISO/IEC 20000-2，提供了支持SMS运行的产品或工具的指南

C.ISO/IEC 20000-3，对服务管理体系确定体系范围提供了要求

D.ISO/IEC 20000-6，和CC01的作用类似，都可以作为认证机构认可的依据

4.关于ISO/IEC 20000-1标准，以下说法错误的是（）。

A.ISO/IEC 20000-1标准要求将其结构应用于组织的服务管理体系，且组织应使用标准中使用的术语

B.ISO/IEC 20000-2提供了服务管理体系的应用指南，包括如何满足ISO/IEC 20000-1中规定要求的示例

C.ISO/IEC 20000-1标准中的要求与常用的持续改进方法学一致，可以使用适当的服务管理工具来支持SMS

D.采用高阶结构使组织能够协调或整合多个管理体系标准。所以，基于ISO/IEC 20000-1的服务管理体系可以与基于ISO 9001的质量管理体系或基于ISO/IEC 27001的信息安全管理体系整合

5.云服务商提供IaaS服务，不适于作为服务方配置项的是（）。

A.虚拟服务器

B.OA应用软件

C.物理网络设备

D.物理存储设备

6.管理体系是（）。

A.建立方针和目标并实现这些目标的体系

B.应用知识和技能获得预期结果的本领的系统

C.可引导识别改进的机会或记录良好实践的系统

D.对实际位置、组织单元、活动和过程描述的系统

7.根据ISO/IEC 20000-1:2018标准的要求，（）不是每个过程都需要定义的部分。

A.活动

B.输入

C.输出

D.资源

8.根据ISO/IEC 20000-1:2018标准的要求，供方是指（）。

A.在最高层指导和管控服务提供方的人员或团队

B.负责管理服务和向顾客交付服务的组织或组织的某个部分

C.服务提供方组织的一部分，与服务提供方签订书面协议共同参与某项或多项服务的设计、转换、交付和改进

D.组织外部的组织或大型组织中SMS范围之外的一部分，签订合同或协议，参与策划、设计转换、交付和改进服务

9.阐明所取得的结果或提供所完成活动的证据的文件是（）。

A.协议

B.记录

C.演示

D.报告

10.（）是作为一个或多个变更的结果，部署到实际运行环境的服务、服务组件以及新服务的一个或多个变更的组合。

A.SLA

B.发布

C.CMDB

D.软件包

11.根据ISO/IEC 20000-1:2018标准，以下不属于最高管理层职责的是（）。

A.开展风险评估

B.批准风险偏好

C.批准服务管理方针

D.批准风险可接受准则

12.根据ISO/IEC 20000-1:2018标准的要求，服务目录应（）。

A.是统一所有服务描述的标准

B.由顾客控制服务目录泉的访问权限

C.是合同的附件，由顾客创建和维护

D.描述服务、预期输出以及服务之间的依赖关系

13.在发布一个软件升级修复某个已知错误后，哪个流程能确保配置管理数据库被正确更新？（）

A.问题管理

B.发布管理

C.变更管理

D.配置管理

14.事件管理中以下哪项是管理性升级的活动？（）

A.将事件转给具有更高技术水平的人解决

B.不能满足SLA中规定的事件解决时间要求

C.将一个事件的信息通知更多的高层管理者

D.为保持顾客满意使用尽可能多高级专家解决一个事件

15.一个配置管理数据库（CMDB）包含不同的配置项，下列哪个项目一般不会被当作配置项？（）

A.监视器

B.用户名

C.工作程序

D.买来的软件包

16.以下关于SMS范围界定说法错误的是（）。

A.SMS范围内宜只描述交付给外部顾客的服务

B.当SMS范围内的服务设计交付给不同的顾客时，宜确保服务过程的一致性

C.如果SMS的范围是整个组织的所有服务，那么定义SMS的范围可以是：组织提供的SMS

D.如果组织只在SMS范围内包含其部分服务，则应定义范围以避免歧义，范围界定宜限定到交付的某个顾客，交付的某个地点

17.信息技术服务管理体系的认证周期为（）。

A.2年

B.3年

C.4年

D.根据实际情况确定

18.根据ISO/IEC 20000-6:2017标准，在决定进行第二阶段审核之前，认证机构应审查第一阶段的审核报告，以便为第二阶段选择具有（）。

A.客户组织的准备程度

B.客户组织的场所分布

C.所需能力的审核组成员

D.所需审核阶段的能力要求

19.GB/Z20986-2007《信息安全技术信息安全事件分类分级指南》中将信息安全事件分为（）。

A.5

B.6

C.7

D.8

20.GB/Z 20986-2007《信息安全技术信息安全事件分类分级指南》中的灾害性事件是由于（）对信息系统造成物理破坏而导致的。

A.人为因素

B.不可抗力

C.网络故障

D.自然灾难

21.GB/Z20986-2007《信息安全技术信息安全事件分类分级指南》中将信息内容事件分为（）个子类。

A.4

B.5

C.6

D.7

22.GB/T 29264《信息技术服务分类与代码》中关于服务级别，下列说法错误的是（）。

A.服务级别应定期更新

B.服务级别应定期评审

C.服务级别应定期记录

D.服务级别应定期经协商

23.根据ISO/IEC 20000-1:2018标准的要求，风险评估不是（）流程的重要构成部分。

A.变更管理

B.服务级别管理

C.服务连续性管理

D.服务可用性管理

24.对于IT服务交付中涉及的信息安全，以下说法正确的是（）。

A.信息安全策略不应披露给供方人员

B.信息安全策略是对T服务提供方人员的要求，与顾客及供方等没有关系

C.审批信息安全策略及遵从这些策略的重要性应与适当的相关方进行沟通

D.若IT服务提供方获得了ISMS认证，可默认ISO/IEC 20000-1标准6.6条已满足要求

25.（）能够帮助确定问题影响水平。

A.最终介质库（DML）

B.标准运行程序（SOP）

C.服务要求文件（SOR）

D.配置管理数据库（CMDB）

26.以下关于安全套接层协议（SSL）的叙述中，错误的是（）。

A.提供数据安全机制

B.是一种应用层安全协议

C.为TCP/IP连接提供数据加密

D.为TCP/IP连接提供服务器认证

27.租户欲终止A服务商的云服务，将应用系统迁移到B云服务商的数据中心，需终止与A服务商的SLA，新签署与B云服务商的SLA，根据ISO/IEC 20000-1:2018标准的要求，以下说法正确的是（）。

A.二者均应遵循变更管理

B.二者均应遵循服务级别管理

C.终止与A服务商的SLA应遵循服务级别管理，新签署与B云服务商的SLA应遵循变更管

D.终止与A服务商的SLA应遵循变更管理，新签署与B云服务商的SLA应尊循服务级别管理

28.（）指应当尽可能调查所有与投诉有关的背景和信息。

A.投诉终止

B.投诉响应

C.投诉调查

D.受理告知

29.（）是一种将后果分级与风险可能性相结合的风险分析方式。

A.HACCP

B.风险矩阵

C.人因可靠性

D.事件树分析

30.以下不属于信息安全通告服务的是（）。

A.病毒信息通告

B.漏洞信息通告

C.威胁信息通告

D.系统升级通告

31.对于防范网络监听，最有效的是（）。

A.安装防火墙

B.进行漏洞扫描

C.采用无线网络传输

D.对传输的数据信息进行加密

32.网络系统中针对海量数据的加密，通常不采用（）。

A.链路加密

B.会话加密

C.端对端加密

D.非对称加密技术加密

33.以下不属于描述性统计技术的是（）。

A.帕累托图

B.散布图

C.直方图

D.正态分布

34.在RAC角色矩阵中有一个“R”的角色，下列哪一项是对该角色的期望？（）

A.执行一项活动

B.管理一项活动

C.被通告活动的时间进度

D.告诉其他人有关活动的进展

35.根据《中华人民共和国网络安全法》，关键信息基础设施的运营者采购网络产品和服务，应当按照规定与提供者签订（）的应当通过国家网信部门会同国务院有关部门组织的国家安全审查。

A.供方支撑协议

B.运营级别协议

C.安全保密协议

D.服务级别协议

36.根据《互联网信息服务管理办法》要求，互联网信息服务提供者应当在其网站主页的（）标明其经营许可证编号或者备案编号。

A.显著位置

B.指定位置

C.备案位置

D.首页位置

37.据《互联网信息服务管理办法》，互联网接入服务提供者应记录上网用户的（）。

A.用户账户、上网时间、访问内容

B.用户账号、上网时间、访问端口信息

C.上网时间、用户账号、互联网地址或域名

D.用户账号、被访问IP地址、用户计算机MAC地址

38.《中华人民共和国计算机信息系统安全保护条例》规定，运输、携带、邮寄计算机信息媒体进出境的，应当如实向（）申报。

A.公安

B.边检

C.海关

D.国防部

39.根据《中华人民共和国计算机信息系统安全保护条例》，对计算机病毒和危害社会公共安全的其他有害数据的防治研究工作，由（）归口管理。

A.网信办

B.工信部

C.公安部

D.国务院

40.《信息安全等级保护管理办法》规定第（）级保护时，国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。

A.2

B.3

C.4

D.5

二、多项选择题（每题2分，共30分，错选、多选、漏选均不得分）

41.根据ISO/IEC 20000-1标准，相关方是指对于一项与SMS或服务相关的决策或活动（）的个人或组织。

A.被其影响

B.无法影响

C.能够影响

D.认为自己受到影响

42.以下属于信息安全事态或事件的是（）。

A.系统故障或超负载

B.物理安全要求的违规

C.安全策略变更的临时通知

D.服务、设备或设施的丢失

43.根据ISO/IEC 20000-1标准，服务管理体系的范围应依据（）确定。

A.组织提供的服务

B.组织的外部和内部事项

C.组织所识别的相关的要求

D.ISO/IEC 20000-2:2018的标准要求

44.关于服务目录，以下说法正确的是（）。

A.服务目录应形成文件

B.组织可以创建和维护一个或多个服务目录

C.组织应允许其客户、用户和其他相关方访问服务目录的有关部分

D.服务目录应包括为组织、客户、用户和其他相关方描述服务、服务的预期结果以及服务间的依赖性相关的信息

45.根据ISO/IEC 20000-1标准，IT服务管理中，信息安全的控制措施，应（）。

A.独立执行，不受变更管理过程的影响

B.形成文件，并描述访问服务或系统相关的风险

C.由顾客制定，服务提供方组织通常没有对这些措施的访问权

D.当评估的风险发生变化时，适当考虑信息安全控制措施变化的需求

46.根据ISO/IEC 20000-1:2018标准的要求，当服务发生变更时，组织宜采取以下哪些措施？（）

A.无论是增加还是删除服务，均宜实施相应的评估

B.对变更进行评估，确定是否需要变更SMS的范围

C.通知认证机构变更情况，以确定是否需要对认证范围实施变更

D.根据变更情况确定SMS的相关过程是否仍符合ISO/IEC 20000-1的要求

47.根据ISO/IEC 20000-1:2018标准的要求，关于服务设计、构建和转换，说法正确的是（）。

A.受新服务或已变更服务影响的配置项（CI），应通过配置管理进行控制

B.应使用发布和部署管理将已批准的新服务或变更的服务部署到运行环境中

C.根据变更管理策略，可能对发客户或其他服务产生重大影响的新服务，采用服务设计和转换过程控制

D.根据变更管理策略，可能对发客户或其他服务产生重大影响的服务变更，采用服务设计和转换过程控制图

48.某申请认证的公司提供7×24呼叫中心服务，根据ISO/IEC 20000-6:2017标准，以下说法正确的是（）。

A.该公司认证审核总人天数可在基准数上减少30%

B.由于各班次服务活动是相同的，所以认证审核人天数可酌量减少

C.如果该公司同时认证ITSMS和ISMS，则审核的总人天数可减少40%

D.由于公司提供的服务覆盖了夜班，因此认证审核人天数应酌量增加日

49.根据ISO/IEC 20000-6:2017，影响审核时间安排的因素包括（）。

A.场所的数量

B.ITSMS的范围大小

C.认证机构审核人员的数量

D.认证机构审核人员的能力

50.根据ISO/IEC 20000-6:2017，以下可构成减少ITSMS初审人天数的因素包括（）。

A.拟认证的范围已获得ISO 9001认证

B.拟认证的范围已获得ISO/IEC 27001认证

C.已获得其他认证的范围大于或等于拟进行ITSMS认证的范围

D.已获得的认证在最近12个月至少被经认可的认证机构审核过一次

51.根据GB/Z 20986-2007，信息破坏事件包括（）。

A.丢失

B.假冒

C.篡改

D.违规使用

52.体现IT服务价值的基本要素是（）。

A.投资回报比

B.功能和性能

C.服务要求形成文件

D.可用性和可靠性保障

53.常用的云计算服务类型，包括（）。

A.平台即服务

B.邮件即服务

C.软件即服务

D.基础设施即服务

54.A云服务商为B租户提供PaaS服务，租户将全部业务系统均转移到云上，租户欲实现所购买的云服务可用性目标应考虑（）。

A.双方的PaaS服务的SLA

B.租户销售业务的可用性要求

C.租户内部管理人员对业务系统的可用性要求

D.云服务商运营可能导致的SaaS服务中断的风险

55.根据《网络安全审查办法》，网络产品和服务主要指核心网络设备、（）和服务、云计算服务，以及其他对关键信息基础设施安全有重要影响的网络产品。

A.网络安全设备

B.大容量存储设备

C.大型数据库和应用软件

D.高性能计算机和服务器

三、判断题（每题1分，共10分）

56.ISO/IEC 20000系列标准由ISO/IEC JTC1/SC 27进行维护。

57.在中国开展信息技术服务管理体系认证，必须以正式发布的国家标准为依据。

58.ISO/IEC 20000-2可以与ISO/IEC 20000-1一起作为认证审核的依据。

59.ISO/IEC 20000-3标准采用了示例、指导和建议的形式，该标准不得作为规范性要求而被引用。

60.目标是要实现的结果，一定是可以量化的。

61.客户ERP的服务器容量需求属于需求管理。

62.价值流与流程是ITIL的四个维度之一。

63.租户购买laaS服务，数据存储位置可作为SLA指标。

64.根据《信息安全等级保护管理办法》，国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。

65.《中华人民共和国网络安全法》中明确，国家推进网络安全社会化服务体系建设，鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务。

参考答案 公众号：审核员实训基地 回复：itsms202403