2024年03月ITSMS信息技术服务管理体系基础试题及答案

2024年03月ITSMS信息技术服务管理体系基础试题（网友回忆版）[单选题]1.根据ISO/IEC20000-1:2018标准，服务的生命周期过程不包括()。A.持续改进B.策划和设计C.转换和交付（江南博哥）D.外包与分担正确答案：D参考解析：ISO/IEC20000-1:2018标准中服务生命周期过程包含持续改进、策划和设计、转换和交付等，外包与分担不属于服务生命周期过程。答案：D[单选题]2.ISO/IEC20000与哪个国际标准有联合实施的指南标准()。A.ISO18001B.ISO9000C.ISO/IEC28001D.ISO/IEC27001正确答案：D参考解析：ISO/IEC20000是信息技术服务管理体系标准，ISO/IEC27001是信息安全管理体系标准，两者在信息管理领域联系紧密，有联合实施的指南标准。答案：D[单选题]3.ISO/IEC20000系列标准中，以下哪项标准的描述不准确？()A.ISO/IEC20000-10，定义了服务管理涉及的相关术语B.ISO/IEC20000-2，提供了支持SMS运行的产品或工具的指南C.ISO/IEC20000-3，对服务管理体系确定体系范围提供了要求D.ISO/IEC20000-6，和CC01的作用类似，都可以作为认证机构认可的依据正确答案：C参考解析：ISO/IEC20000-3是对服务管理体系实施过程指南，并非对确定体系范围提供要求，C描述错误。而A中ISO/IEC20000-10确实定义相关术语；B里ISO/IEC20000-2提供支持SMS运行产品或工具指南；D中ISO/IEC20000-6和CC01类似可作认证机构认可依据。答案：C[单选题]4.关于ISO/IEC20000-1标准，以下说法错误的是()。？A.ISO/IEC20000-1标准要求将其结构应用于组织的服务管理体系，且组织应使用标准中使用的术语B.ISO/IEC20000-2提供了服务管理体系的应用指南，包括如何满足ISO/IEC20000-1中规定要求的示例C.ISO/IEC20000-1标准中的要求与常用的持续改进方法学一致，可以使用适当的服务管理工具来支持SMSD.采用高阶结构使组织能够协调或整合多个管理体系标准。所以，基于ISO/IEC20000-1的服务管理体系可以与基于ISO9001的质量管理体系或基于ISO/IEC27001的信息安全管理体系整合正确答案：A参考解析：ISO/IEC20000-1标准虽要求按其结构构建服务管理体系，但不强制使用标准中的术语。答案：A[单选题]5.云服务商提供IaaS服务，不适于作为服务方配置项的是()。？A.虚拟服务器B.OA应用软件C.物理网络设备D.物理存储设备正确答案：B参考解析：IaaS（基础设施即服务）提供的是基础的计算、存储、网络等基础设施资源。虚拟服务器属于计算资源，物理网络设备、物理存储设备都是基础设施组成部分，而OA应用软件属于软件应用层面，不属于IaaS范畴的基础设施配置项。答案：B[单选题]6.管理体系是()。A.建立方针和目标并实现这些目标的体系B.应用知识和技能获得预期结果的本领的系统C.可引导识别改进的机会或记录良好实践的系统D.对实际位置、组织单元、活动和过程描述的系统正确答案：A参考解析：管理体系是建立方针和目标并实现这些目标的体系。B选项强调的是本领，C选项重点在识别改进机会等，D选项侧重于对实际情况的描述，都不如A选项准确表述管理体系的核心内涵。答案：A[单选题]7.根据ISO/IEC20000-1:2018标准的要求，()不是每个过程都需要定义的部分。？A.活动B.输入C.输出D.资源正确答案：D参考解析：ISO/IEC20000-1:2018标准中，每个过程通常需明确输入、输出以及为实现过程而开展的活动。资源并非每个过程都必须单独定义，不同过程可能共享一些资源。答案：D[单选题]8.根据ISO/IEC20000-1:2018标准的要求，供方是指()。A.在最高层指导和管控服务提供方的人员或团队B.负责管理服务和向顾客交付服务的组织或组织的某个部分C.服务提供方组织的一部分，与服务提供方签订书面协议共同参与某项或多项服务的设计、转换、交付和改进D.组织外部的组织或大型组织中SMS范围之外的一部分，签订合同或协议，参与策划、设计转换、交付和改进服务正确答案：D参考解析：ISO/IEC20000-1:2018标准中，供方强调是组织外部或大型组织中SMS范围外，通过合同或协议参与服务相关环节的。答案：D[单选题]9.阐明所取得的结果或提供所完成活动的证据的文件是()。A.协议B.记录C.演示D.报告正确答案：B参考解析：协议是双方或多方达成的具有法律效力的约定，不是用来阐明结果或提供活动证据的，A选项不符合。演示通常是一种展示行为，并非文件形式，C选项不符合。报告是向上级或有关方面陈述情况的文件，侧重于对情况进行阐述分析等，相对记录而言，记录更直接用于阐明所取得的结果或提供活动证据，D选项不符合。记录是对所发生的事情、取得的结果等进行的记载，能很好地阐明结果或提供活动证据，B选项符合。答案：B[单选题]10.()是作为一个或多个变更的结果，部署到实际运行环境的服务、服务组件以及新服务的一个或多个变更的组合。A.SLAB.发布C.CMDBD.软件包正确答案：B参考解析：题干描述的是关于服务、组件等变更组合部署到实际运行环境的概念。A选项SLA是服务级别协议，主要涉及服务的标准和承诺；C选项CMDB是配置管理数据库，用于存储配置信息；D选项软件包只是软件相关的一种封装形式。而B选项发布，就是将服务等的变更组合部署到实际运行环境。答案：B[单选题]11.根据ISO/IEC20000-1:2018标准，以下不属于最高管理层职责的是()。A.开展风险评估B.批准风险偏好C.批准服务管理方针D.批准风险可接受准则正确答案：A参考解析：开展风险评估通常是具体风险评估团队或相关专业人员基于既定的风险偏好、准则等去执行的工作，并非最高管理层职责。而批准风险偏好、服务管理方针、风险可接受准则这类涉及方向性、策略性的内容属于最高管理层职责。答案：A[单选题]12.根据ISO/IEC20000-1:2018标准的要求，服务目录应()。A.是统一所有服务描述的标准B.由顾客控制服务目录泉的访问权限C.是合同的附件，由顾客创建和维护D.描述服务、预期输出以及服务之间的依赖关系正确答案：D参考解析：ISO/IEC20000-1:2018标准中，服务目录主要是用于清晰描述服务、预期输出以及服务之间的依赖关系。A选项表述不准确，不是统一所有服务描述的标准这种简单概念；B选项服务目录访问权限并非单纯由顾客控制；C选项服务目录通常不是由顾客创建和维护。答案：D[单选题]13.在发布一个软件升级修复某个已知错误后，哪个流程能确保配置管理数据库被正确更新？()A.问题管理B.发布管理C.变更管理D.配置管理正确答案：D[单选题]14.事件管理中以下哪项是管理性升级的活动？()？A.将事件转给具有更高技术水平的人解决B.不能满足SLA中规定的事件解决时间要求C.将一个事件的信息通知更多的高层管理者D.为保持顾客满意使用尽可能多高级专家解决一个事件正确答案：B[单选题]15.一个配置管理数据库（CMDB）包含不同的配置项，下列哪个项目一般不会被当作配置项？()A.监视器B.用户名C.工作程序D.买来的软件包正确答案：B参考解析：配置项通常是IT基础架构中可管理的硬件、软件、文档等实体。用户名主要是用户登录系统的标识，并非传统意义上可管理、具有配置属性的实体。答案：B[单选题]16.以下关于SMS范围界定说法错误的是()。A.SMS范围内宜只描述交付给外部顾客的服务B.当SMS范围内的服务设计交付给不同的顾客时，宜确保服务过程的一致性C.如果SMS的范围是整个组织的所有服务，那么定义SMS的范围可以是：组织提供的SMSD.如果组织只在SMS范围内包含其部分服务，则应定义范围以避免歧义，范围界定宜限定到交付的某个顾客，交付的某个地点正确答案：A参考解析：A选项说法错误，SMS范围界定并非只描述交付给外部顾客的服务，还可能涉及内部服务等多种情况。其他选项表述合理。答案：A[单选题]17.信息技术服务管理体系的认证周期为()。A.2年B.3年C.4年D.根据实际情况确定正确答案：B参考解析：信息技术服务管理体系认证周期通常是3年。答案：B[单选题]18.根据ISO/IEC20000-6:2017标准，在决定进行第二阶段审核之前，认证机构应审查第一阶段的审核报告，以便为第二阶段选择具有()。A.客户组织的准备程度B.客户组织的场所分布C.所需能力的审核组成员D.所需审核阶段的能力要求正确答案：C参考解析：在决定进行第二阶段审核前，认证机构审查第一阶段审核报告，主要目的是为第二阶段挑选具备相应能力的审核组成员，以确保审核顺利进行。答案选C。[单选题]19.GB/Z20986-2007《信息安全技术信息安全事件分类分级指南》中将信息安全事件分为()。A.5B.6C.7D.8正确答案：C参考解析：GB/Z20986-2007《信息安全技术信息安全事件分类分级指南》中将信息安全事件分为7个基本类别，分别是有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件。答案：C[单选题]20.GB/Z20986-2007《信息安全技术信息安全事件分类分级指南》中的灾害性事件是由于()对信息系统造成物理破坏而导致的。？A.人为因素B.不可抗力C.网络故障D.自然灾难正确答案：B参考解析：灾害性事件强调因不可抗力，像地震、洪水等自然灾难这类不可抗拒的力量对信息系统造成物理破坏，自然灾难属于不可抗力的一部分，相比之下，不可抗力表述更全面涵盖各种不可抗致损情况。网络故障不属于灾害性事件致因，人为因素也不符合灾害性事件定义。答案：B[单选题]21.GB/Z20986-2007《信息安全技术信息安全事件分类分级指南》中将信息内容事件分为()个子类。A.4B.5C.6D.7正确答案：A[单选题]22.GB/T29264《信息技术服务分类与代码》中关于服务级别，下列说法错误的是()。A.服务级别应定期更新B.服务级别应定期评审C.服务级别应定期记录D.服务级别应定期经协商正确答案：A[单选题]23.根据ISO/IEC20000-1:2018标准的要求，风险评估不是()流程的重要构成部分。A.变更管理B.服务级别管理C.服务连续性管理D.服务可用性管理正确答案：B参考解析：服务级别管理主要关注服务目标设定、服务级别协议协商等，重点不在于风险评估。而变更管理要评估变更带来风险；服务连续性管理需评估风险对业务连续性影响；服务可用性管理也要考量风险对可用性影响。答案：B[单选题]24.对于IT服务交付中涉及的信息安全，以下说法正确的是()。A.信息安全策略不应披露给供方人员B.信息安全策略是对T服务提供方人员的要求，与顾客及供方等没有关系C.审批信息安全策略及遵从这些策略的重要性应与适当的相关方进行沟通D.若IT服务提供方获得了ISMS认证，可默认ISO/IEC20000-1标准6.6条已满足要求正确答案：C参考解析：信息安全策略需与相关方沟通，这样各方才能知晓并配合遵从，A选项不披露给供方人员不利于信息安全管理；B选项信息安全策略与顾客及供方等相关方都有关系；D选项ISMS认证和ISO/IEC20000-1标准6.6条满足情况不能简单默认等同。答案：C[单选题]25.()能够帮助确定问题影响水平。A.最终介质库（DML）B.标准运行程序（SOP）C.服务要求文件（SOR）D.配置管理数据库（CMDB）正确答案：D参考解析：配置管理数据库（CMDB）包含了组织内IT基础设施和服务的配置信息，通过这些信息可分析问题对相关配置项的影响，从而确定问题影响水平。而A选项最终介质库主要存放软件等最终版本；B选项标准运行程序侧重于规范操作流程；C选项服务要求文件主要明确对服务的要求。答案：D[单选题]26.以下关于安全套接层协议（SSL）的叙述中，错误的是()。A.提供数据安全机制B.是一种应用层安全协议C.为TCP/IP连接提供数据加密D.为TCP/IP连接提供服务器认证正确答案：B参考解析：SSL是传输层安全协议，并非应用层安全协议，A选项提供数据安全机制、C选项为TCP/IP连接加密、D选项提供服务器认证都是SSL的功能。答案：B[单选题]27.租户欲终止A服务商的云服务，将应用系统迁移到B云服务商的数据中心，需终止与A服务商的SLA，新签署与B云服务商的SLA，根据ISO/IEC20000-1:2018标准的要求，以下说法正确的是()。A.二者均应遵循变更管理B.二者均应遵循服务级别管理C.终止与A服务商的SLA应遵循服务级别管理，新签署与B云服务商的SLA应遵循变更管D.终止与A服务商的SLA应遵循变更管理，新签署与B云服务商的SLA应尊循服务级别管理正确答案：A[单选题]28.()指应当尽可能调查所有与投诉有关的背景和信息。A.投诉终止B.投诉响应C.投诉调查D.受理告知正确答案：C参考解析：题目强调要调查与投诉有关的背景和信息，这明显是投诉调查阶段的工作内容。投诉终止是结束投诉流程；投诉响应侧重于回应投诉；受理告知主要是告知投诉已受理。答案：C[单选题]29.()是一种将后果分级与风险可能性相结合的风险分析方式。A.HACCPB.风险矩阵C.人因可靠性D.事件树分析正确答案：B参考解析：风险矩阵是将后果分级与风险可能性相结合来分析风险的方式。HACCP主要用于食品安全危害分析与关键控制点；人因可靠性侧重于人的可靠性分析；事件树分析是按事件发展顺序分析可能结果。所以选B。答案：B[单选题]30.以下不属于信息安全通告服务的是()。A.病毒信息通告B.漏洞信息通告C.威胁信息通告D.系统升级通告正确答案：D参考解析：信息安全通告服务主要围绕与安全相关的内容，如病毒、漏洞、威胁等信息。系统升级通告可能包含多种原因的升级，不一定单纯是为了安全，可能是功能改进等，不属于典型的信息安全通告范畴。答案：D[单选题]31.对于防范网络监听，最有效的是()。A.安装防火墙B.进行漏洞扫描C.采用无线网络传输D.对传输的数据信息进行加密正确答案：D参考解析：网络监听主要是获取传输中的数据。防火墙主要防外部非法访问等，漏洞扫描是找系统漏洞，无线网络传输更易被监听，而数据加密后即便被监听获取数据，没密钥也无法知晓内容，能有效防范网络监听。答案：D[单选题]32.以下不属于描述性统计技术的是()。A.帕累托图B.散布图C.直方图D.正态分布正确答案：D参考解析：帕累托图可用于分析数据的重要程度分布等，是描述性统计技术。散布图展示两个变量之间的关系，属于描述性统计技术。直方图用于展示数据的分布情况，是描述性统计技术。正态分布是一种概率分布模型，不是直接用于描述样本数据特征的描述性统计技术方法，它更多是理论上的分布。答案：D[单选题]33.在RAC角色矩阵中有一个“R”的角色，下列哪一项是对该角色的期望？()A.执行一项活动B.管理一项活动C.被通告活动的时间进度D.告诉其他人有关活动的进展正确答案：A参考解析：在RAC角色矩阵中，“R”通常代表Responsible，即负责执行活动的角色。答案：A[单选题]34.网络系统中针对海量数据的加密，通常不采用()。A.链路加密B.会话加密C.端对端加密D.非对称加密技术加密正确答案：D参考解析：非对称加密技术加密速度慢，计算资源消耗大，对于海量数据加密效率低，不适合海量数据加密场景。而链路加密、会话加密、端对端加密相对更适合海量数据在不同层面的加密处理。答案：D[单选题]35.根据《中华人民共和国网络安全法》，关键信息基础设施的运营者采购网络产品和服务，应当按照规定与提供者签订()的应当通过国家网信部门会同国务院有关部门组织的国家安全审查。A.供方支撑协议B.运营级别协议C.安全保密协议D.服务级别协议正确答案：C参考解析：《中华人民共和国网络安全法》规定关键信息基础设施运营者采购网络产品和服务要签安全保密协议，以保障信息安全等。答案：C[单选题]36.根据《互联网信息服务管理办法》要求，互联网信息服务提供者应当在其网站主页的()标明其经营许可证编号或者备案编号。A.显著位置B.指定位置C.备案位置D.首页位置正确答案：A参考解析：《互联网信息服务管理办法》明确规定互联网信息服务提供者要在网站主页显著位置标明经营许可证编号或备案编号，这样便于公众快速识别和监督。答案：A[单选题]37.据《互联网信息服务管理办法》，互联网接入服务提供者应记录上网用户的()。A.用户账户、上网时间、访问内容B.用户账号、上网时间、访问端口信息C.上网时间、用户账号、互联网地址或域名D.用户账号、被访问IP地址、用户计算机MAC地址正确答案：C参考解析：《互联网信息服务管理办法》规定互联网接入服务提供者应记录上网用户的上网时间、用户账号、互联网地址或域名，这样便于管理和追溯相关网络活动。答案：C[单选题]38.《中华人民共和国计算机信息系统安全保护条例》规定，运输、携带、邮寄计算机信息媒体进出境的，应当如实向()申报。A.公安B.边检C.海关D.国防部正确答案：C参考解析：涉及运输、携带、邮寄计算机信息媒体进出境的申报，这属于海关在进出境监管方面的职责范畴。答案：C[单选题]39.根据《中华人民共和国计算机信息系统安全保护条例》，对计算机病毒和危害社会公共安全的其他有害数据的防治研究工作，由()归口管理。A.网信办B.工信部C.公安部D.国务院正确答案：C参考解析：在计算机信息系统安全保护相关事务中，对于计算机病毒和危害社会公共安全的其他有害数据的防治研究工作，通常由具有维护社会治安和公共安全职责的部门管理，公安部承担此职责。答案：C[单选题]40.《信息安全等级保护管理办法》规定第()级保护时，国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。A.2B.3C.4D.5正确答案：C[多选题]1.根据ISO/IEC20000-1标准，相关方是指对于一项与SMS或服务相关的决策或活动()的个人或组织。A.被其影响B.无法影响C.能够影响D.认为自己受到影响正确答案：ACD参考解析：ISO/IEC20000-1标准中对相关方的定义，相关方是能对与SMS或服务相关决策或活动产生影响，或被其影响，或自认为受其影响的个人或组织，A、C、D选项表述均片面。答案选“ACD”。[多选题]2.以下属于信息安全事态或事件的是()。A.系统故障或超负载B.物理安全要求的违规C.安全策略变更的临时通知D.服务、设备或设施的丢失正确答案：ABD参考解析：信息安全事态或事件通常是指对信息系统安全产生负面影响的情况。A选项系统故障或超负载可能影响系统正常运行危及信息安全；B选项物理安全要求违规会对信息存储等物理层面安全有威胁；D选项服务、设备或设施丢失直接影响信息系统正常运作，关乎信息安全。而C选项安全策略变更的临时通知只是一种信息传递，本身不构成对信息安全有负面实质影响的事件。答案：ABD[多选题]3.根据ISO/IEC20000-1标准，服务管理体系的范围应依据()确定。A.组织提供的服务B.组织的外部和内部事项C.组织所识别的相关的要求D.ISO/IEC20000-2:2018的标准要求正确答案：ABC[多选题]4.关于服务目录，以下说法正确的是()。A.服务目录应形成文件B.组织可以创建和维护一个或多个服务目录C.组织应允许其客户、用户和其他相关方访问服务目录的有关部分D.服务目录应包括为组织、客户、用户和其他相关方描述服务、服务的预期结果以及服务间的依赖性相关的信息正确答案：ABCD参考解析：服务目录通常需要形成文件以便查阅和管理；组织根据自身业务情况可以创建和维护一个或多个服务目录；为满足相关方需求，应允许客户等相关方访问服务目录有关部分；且服务目录需涵盖服务描述、预期结果及服务间依赖等信息。这几个选项从不同方面阐述了服务目录的正确特征。答案：ABCD[多选题]5.根据ISO/IEC20000-1标准，IT服务管理中，信息安全的控制措施，应()。A.独立执行，不受变更管理过程的影响B.形成文件，并描述访问服务或系统相关的风险C.由顾客制定，服务提供方组织通常没有对这些措施的访问权D.当评估的风险发生变化时，适当考虑信息安全控制措施变化的需求正确答案：BD[多选题]6.根据ISO/IEC20000-1:2018标准的要求，当服务发生变更时，组织宜采取以下哪些措施？()A.无论是增加还是删除服务，均宜实施相应的评估B.对变更进行评估，确定是否需要变更SMS的范围C.通知认证机构变更情况，以确定是否需要对认证范围实施变更D.根据变更情况确定SMS的相关过程是否仍符合ISO/IEC20000-1的要求正确答案：ABCD参考解析：当服务变更时，组织需要综合考虑多方面，包括评估变更本身（A项）、评估变更对服务管理体系（SMS）范围的影响（B项）、确定变更后SMS相关过程是否仍符合标准要求（D项），同时也需要通知认证机构变更情况看是否要对认证范围变更（C项）。这几个方面都是处理服务变更时较为重要的措施。答案：ABCD[多选题]7.根据ISO/IEC20000-1:2018标准的要求，关于服务设计、构建和转换，说法正确的是()。A.受新服务或已变更服务影响的配置项（CI），应通过配置管理进行控制B.应使用发布和部署管理将已批准的新服务或变更的服务部署到运行环境中C.根据变更管理策略，可能对发客户或其他服务产生重大影响的新服务，采用服务设计和转换过程控制D.根据变更管理策略，可能对发客户或其他服务产生重大影响的服务变更，采用服务设计和转换过程控制图正确答案：AB参考解析：A选项体现配置管理对受影响配置项的控制，符合标准要求；B选项发布和部署管理确实用于将服务部署到运行环境；C选项重大影响的新服务应采用服务设计和转换过程控制表述不准确，重大影响新服务应全面控制，不仅局限于设计和转换过程；D选项“采用服务设计和转换过程控制图”说法错误，应是过程控制而非控制图。综合来看，A、B表述正确。答案：AB[多选题]8.某申请认证的公司提供7×24呼叫中心服务，根据ISO/IEC20000-6:2017标准，以下说法正确的是()。A.该公司认证审核总人天数可在基准数上减少30%B.由于各班次服务活动是相同的，所以认证审核人天数可酌量减少C.如果该公司同时认证ITSMS和ISMS，则审核的总人天数可减少40%D.由于公司提供的服务覆盖了夜班，因此认证审核人天数应酌量增加日正确答案：AB[多选题]9.根据ISO/IEC20000-6:2017，影响审核时间安排的因素包括()。A.场所的数量B.ITSMS的范围大小C.认证机构审核人员的数量D.认证机构审核人员的能力正确答案：AB参考解析：审核时间安排主要取决于审核对象相关特性，如组织场所数量越多、ITSMS范围越大，审核所需时间通常越多。而认证机构审核人员数量与能力并非直接决定审核时间安排的因素。答案：AB[多选题]10.根据ISO/IEC20000-6:2017，以下可构成减少TSMS初审人天数的因素包括()。A.拟认证的范围已获得ISO9001认证B.拟认证的范围已获得ISO/IEC27001认证C.已获得其他认证的范围大于或等于拟进行ITSMS认证的范围D.已获得的认证在最近12个月至少被经认可的认证机构审核过一次正确答案：ABCD[多选题]11.根据GB/Z20986-2007，信息破坏事件包括()。A.丢失B.假冒C.篡改D.违规使用正确答案：ABC[多选题]12.体现IT服务价值的基本要素是()。？A.投资回报比B.功能和性能C.服务要求形成文件D.可用性和可靠性保障正确答案：ABD[多选题]13.常用的云计算服务类型，包括()。A.平台即服务B.邮件即服务C.软件即服务D.基础设施即服务正确答案：ACD参考解析：常用云计算服务类型主要有软件即服务（SaaS），用户通过网络使用软件；平台即服务（PaaS），为开发者提供开发平台等；基础设施即服务（IaaS），提供基础的计算、存储等资源。而邮件即服务不属于常见云计算服务类型。答案：ACD[多选题]14.A云服务商为B租户提供PaaS服务，租户将全部业务系统均转移到云上，租户欲实现所购买的云服务可用性目标应考虑()。？A.双方的PaaS服务的SLAB.租户销售业务的可用性要求C.租户内部管理人员对业务系统的可用性要求D