CCAA - 2019年11月审核知识（改考前）答案及解析 - 详解版（47题）

本资料由小桨备考整理，仅供学习参考，非官方发布2019年11月审核知识（改考前）答案及解析单选题（共30题，共30分）1.在进行审核员管理时，下列哪些活动不是必须的？（）A.定期对每位审核员的表现进行现场评价B.对审核员的能力和表现进行监视C.保持人员的最新记录D.对审核员的现场审核进行监控答案：D解析：在进行审核员管理时，审核员的表现和能力需要进行定期的评估和监视，这是确保审核员能够持续保持高水平审核能力的重要步骤。而选项D，“对审核员的现场审核进行监控”并不是必须的。审核员的现场审核是由审核员自己进行，并且他们的审核过程应该受到被审核组织的内部质量控制程序的监控，而不是审核员管理过程的一部分。因此，选项D不是必须的。2.以下不属于需求管理范畴的是（）。A.A公司持续为B客户提供运维服务，每年总结B公司系统的可用性不足的情况，明确可能的可用性检测需求B.A公司持续为B客户提供运维服务，每年总结B公司系统的可用性不足的情况，明确可能的资源不足的需求C.A公司持续为B客户提供运维服务，每年总结B公司系统的可用性不足的情况，明确可能的软件功能不足的需求D.A公司持续为B客户提供运维服务，每年总结B公司系统的可用性不足的情况，明确可能的系统和设备的冗余需求答案：C解析：根据题目，A公司持续为B客户提供运维服务，每年总结B公司系统的可用性不足的情况。题目要求找出不属于需求管理范畴的选项。A选项提到明确可能的可用性检测需求，这是针对系统可用性的检测需求，属于需求管理的范畴。B选项提到明确可能的资源不足的需求，这涉及到系统资源的配置和管理，也属于需求管理的范畴。D选项提到明确可能的系统和设备的冗余需求，这是针对系统和设备的备份和容灾需求，同样属于需求管理的范畴。而C选项提到明确可能的软件功能不足的需求，虽然这也是对系统或软件的功能需求，但题目中的上下文明确指出是总结B公司系统的可用性不足的情况，所以更可能指的是与可用性相关的需求，而不是软件功能的需求。因此，C选项不属于需求管理范畴。3.下列哪个概念不属于信息技术服务财务管理？（）A.预算编制B.计费C.管理费用D.定价答案：B解析：在信息技术服务财务管理中，预算编制、管理费用和定价都是重要的概念。它们分别涉及预算规划、成本控制和价格策略。然而，计费通常与信息技术服务的交付和客户关系管理更为相关，而不是财务管理的核心部分。因此，计费不属于信息技术服务财务管理中的概念。所以，正确答案是B。4.信息技术服务管理是如何保证信息技术服务提供的质量？（）A.通过将客户、服务提供商之间的协定记录进正式的文档B.通过建立的可接受的服务级别标准C.通过在信息技术组织的所有员工中推行客户导向模式D.通过建立、实施、维护和持续改进为信息技术服务提供一套连续的流程答案：A解析：信息技术服务管理保证信息技术服务提供的质量主要是通过将客户、服务提供商之间的协定记录进正式的文档。这是信息技术服务管理的基础，通过正式文档的形式明确双方的权利和义务，确保服务提供过程中的沟通、协作和问题解决能够有章可循，从而保障服务的质量。其他选项虽然也是信息技术服务管理的一部分，但不是直接保证服务质量的手段。5.从下列哪个文档中，事件管理流程可以获取在必要的情况下的升级相关信息？（）A.服务改进计划B.服务目录C.组织机构图D.服务级别协议答案：D解析：事件管理流程通常在必要的情况下需要获取升级相关信息，而这样的信息通常在服务级别协议（SLA）中明确规定。服务级别协议详细说明了服务供应商和服务接受者之间的协议，包括服务质量、可用性、恢复时间目标等，也可能包括在必要情况下进行升级的相关条款和条件。因此，正确答案是D，即服务级别协议。其他选项如服务改进计划、服务目录和组织机构图虽然与服务管理有关，但通常不包含具体的升级信息。6.在认证审核时，审核组应（）。A.在审核前将审核计划提交受审核方确认B.在审核结束时将审核计划提交受审核方确认C.随着审核的进展与受审核方共同确认审核计划D.将审核计划提交审核委托方批准方可答案：A解析：在认证审核时，审核组应将审核计划提交受审核方确认。审核计划是审核组在审核前制定的，旨在明确审核的目的、范围、时间、地点、人员等安排，以便审核组能够按照计划进行审核工作。在审核开始前，审核组应该将审核计划提交给受审核方进行确认，确保双方对审核的安排和要求有共同的理解，以便审核的顺利进行。因此，选项A“在审核前将审核计划提交受审核方确认”是正确的。选项B“在审核结束时将审核计划提交受审核方确认”与审核计划的时间安排不符，选项C“随着审核的进展与受审核方共同确认审核计划”不符合审核计划的安排要求，选项D“将审核计划提交审核委托方批准方可”也不符合审核计划的要求，因为审核计划是由审核组制定的，不需要提交给审核委托方批准。7.关于审核结论，以下说法不正确的是（）。A.审核组综合了所有审核证据进行合理推断的结果B.审核组综合了所有审核证据与受审核方充分协商的结果C.审核组权衡了不符合的审核发现的数量及严重程度后得出的结果D.以上全部答案：D解析：审核结论是基于审核组综合所有审核证据进行的分析和推断，而不是与受审核方充分协商的结果。审核组会根据审核发现的数量和严重程度进行权衡，从而得出审核结论。因此，选项D中的“审核组综合了所有审核证据与受审核方充分协商的结果”是不正确的说法。所以，正确答案是D。8.内部审核计划不包括或涉及下列哪些内容？（）A.审核目的B.审核范围：包括受审核的组织单元、职能单元以及过程C.审核准则和引用文件D.审核发现答案：D解析：内部审核计划通常包括审核目的、审核范围、审核准则和引用文件等内容。审核目的是明确审核的目标和期望结果；审核范围明确了受审核的组织单元、职能单元以及过程；审核准则和引用文件则提供了审核的依据和标准。而审核发现是在审核过程中实际发现的问题或不符合项，它并不是内部审核计划的一部分，而是在审核过程中逐步形成和记录的。因此，选项D“审核发现”是不包括或涉及在内部审核计划中的内容。9.内部审核中，首次会议由（）主持。A.总经理B.管理者代表C.特定审核所需要的技术专家D.审核组长答案：D解析：在内部审核中，首次会议通常由审核组长主持。审核组长是负责整个审核过程的负责人，他们负责确保审核的顺利进行，并确保审核的公正性和客观性。总经理、管理者代表和特定审核所需要的技术专家虽然可能在审核过程中扮演重要角色，但首次会议通常由审核组长主持。因此，正确答案是D，即审核组长。10.防范网络监听最有效的方法是（）。A.进行漏洞扫描B.釆用无线网络传输C.对传输的数据信息进行加密D.安装防火墙答案：C解析：防范网络监听最有效的方法是对传输的数据信息进行加密。加密是一种将明文转化为密文的过程，使得未经授权的人员无法读取和理解传输的数据。通过加密，即使数据被截获，攻击者也无法解密并获取原始信息，从而有效地防范网络监听。选项A进行漏洞扫描主要是用于发现系统中存在的安全漏洞，并不能直接防范网络监听。选项B采用无线网络传输本身并不是防范网络监听的有效方法。无线网络传输的数据更容易被截获，因此更需要采取加密措施来确保数据的安全性。选项D安装防火墙虽然可以阻止未经授权的访问，但它并不能直接防止数据被截获和监听。因此，仅仅依赖防火墙是不够的，还需要结合其他安全措施。综上所述，对传输的数据信息进行加密是防范网络监听最有效的方法。11.根据GB/Z20986标准，信息安全事件分为几级？（）A.3B.4C.5D.6答案：B解析：根据GB/Z20986标准，信息安全事件分为四个等级，分别是特别重大事件（Ⅰ级）、重大事件（Ⅱ级）、较大事件（Ⅲ级）和一般事件（Ⅳ级）。因此，选项B“4”是正确答案。其他选项A、C、D都与该标准不符。12.下列不属于最常用的云服务类型的是（）。A.邮件即服务B.软件即服务C.基础设施即服务D.平台即服务答案：A解析：在云服务中，最常用的类型包括基础设施即服务（IaaS）、平台即服务（PaaS）和软件即服务（SaaS）。这三种服务类型各自提供不同的功能和服务，满足用户的不同需求。而邮件即服务（MaaS）并不是云服务中最常用的类型。因此，正确答案是A。13.第三方认证审核时，对于审核提出的不符合项，审核组应（）。A.与受审核方共同评审不符合项以确认不符合的条款B.与受审核方共同评审不符合项以确认不符合事实的准确性C.与受审核方共同评审不符合项以确认不符合的性质D.以上都对答案：B解析：在第三方认证审核中，当审核组提出不符合项时，审核组应与受审核方共同评审这些不符合项，以确认不符合事实的准确性。这是为了确保审核的公正性和准确性，同时也为受审核方提供了机会来确认和解释不符合项的具体情况。选项A、C虽然也提到了与受审核方共同评审不符合项，但它们的重点与B选项不符。选项D表示“以上都对”，但实际上只有B选项是符合审核过程的。因此，正确答案是B。14.根据《互联网信息服务管理办法》规定，国家对于经营性互联网信息服务实行（）。A.备案制度B.许可制度C.行政监管制度D.备案与行政监管相结合的管理制度答案：B解析：《互联网信息服务管理办法》规定，国家对经营性互联网信息服务实行许可制度。非经营性互联网信息服务实行备案制度。因此，正确答案为B，即许可制度。15.对于初次认证审核，下面说法错误的是（）。A.初次认证审核分为两个阶段实施B.初次认证的两个阶段审核都必须去现场C.初次认证一阶段的不必满足GB/T27021中关于报告的所有要求D.初次认证二阶段的审核时间受一阶段审核结果的影响答案：B解析：本题考查初次认证审核的相关知识。A选项“初次认证审核分为两个阶段实施”是正确的。初次认证审核确实分为两个阶段进行，这是审核的一般流程。B选项“初次认证的两个阶段审核都必须去现场”是错误的。初次认证的两个阶段审核并不一定都需要去现场，具体取决于审核的要求和实际情况。C选项“初次认证一阶段的不必满足GB/T27021中关于报告的所有要求”是正确的。初次认证一阶段的主要目的是了解组织的基本情况，因此不必满足GB/T27021中关于报告的所有要求。D选项“初次认证二阶段的审核时间受一阶段审核结果的影响”是正确的。初次认证二阶段的审核时间确实会受一阶段审核结果的影响，因为一阶段的审核结果会决定二阶段的审核重点和内容。因此，B选项“初次认证的两个阶段审核都必须去现场”是错误的。16.审核员的检查表应（）。A.事先提交受审核方评审确认B.基于审核准则事先编制C.针对不同的受审核组织应统一格式和内容D.由审核组长负责编制审核组使用的检查表答案：B解析：审核员的检查表应该基于审核准则事先编制。检查表是审核员用于指导审核过程的工具，它应该根据审核准则进行编制，以确保审核员能够按照统一的标准和要求进行审核。事先编制检查表有助于审核员明确审核内容、方法和步骤，提高审核效率和质量。因此，选项B“基于审核准则事先编制”是正确答案。其他选项A、C、D均与检查表的编制原则不符。17.某大型云服务商提供IaaS服务，租户基于IaaS构建满足业务需求的应用系统，租户系统的运维工作外包给A公司，云服务商、租赁户、A公司均建立了ITSMS，以下说法正确的是（）。A.租户系统发生中断事件，A公司使用自身事件级别规则，作为事件级别判断依据B.租户系统发生中断事件，A公司使用云服务商事件级别规则，作为事件级别判断依据C.租户系统发生中断事件，A公司使用租户事件级别规则，作为事件判断依据D.租户系统发生中断事件，A公司使用综合使用云服务商和租户事件级别规则，作为事件级别判断依据答案：A解析：在题干中，某大型云服务商提供IaaS服务，租户基于IaaS构建满足业务需求的应用系统，而租户系统的运维工作外包给了A公司。这意味着A公司负责租户系统的运维工作，而租户系统和云服务商都有各自的ITSMS（IT服务管理系统）。当租户系统发生中断事件时，A公司应该使用自身的事件级别规则作为事件级别判断依据。这是因为A公司负责租户系统的运维，他们应该有自己的事件级别判断标准，以确保能够及时处理租户系统的中断事件。因此，选项A“租户系统发生中断事件，A公司使用自身事件级别规则，作为事件级别判断依据”是正确的。选项B、C和D都与题干中的描述不符，因此是错误的。18.审核报告是（）。A.受审核方的资产B.受审核委托方和受审核方的共同资产C.审核委托方的资产D.审核组合审核委托方的资产答案：C解析：审核报告是审核委托方的资产。审核报告是审核委托方委托审核组对受审核方进行审核后，由审核组编写的报告，报告内容反映了受审核方的管理体系运行情况和审核结果，是审核委托方获取审核信息的重要来源。因此，审核报告的所有权应归属于审核委托方，即选项C“审核委托方的资产”是正确的。选项A“受审核方的资产”、选项B“受审核委托方和受审核方的共同资产”、选项D“审核组合审核委托方的资产”均不符合审核报告的实际情况。19.信息技术服务管理体系认证过程包含了（）。A.现场审核首次会议开始到末次会议结束的所有活动B.从审核准备到审核报告提交期间的所有活动C.一次初审以及至少2次监督审核的所有活动D.从受理认证到证书到期期间所有的审核以及认证服务和管理活动答案：D解析：信息技术服务管理体系认证过程包含了从受理认证到证书到期期间所有的审核以及认证服务和管理活动。这个选项包括了从认证申请开始到证书到期为止的所有审核和管理活动，符合信息技术服务管理体系认证过程的定义。其他选项只涵盖了认证过程中的部分活动，不够全面。因此，正确答案是D。20.第三方认证时的监督审核不一定是对整个体系的审核，以下说法正确的是（）。A.组织获得认证范围内的职能区域可以抽査，但标准条款不可以抽查B.组织获得认证范围内的业务过程可以抽查，但职能区域不可以抽查C.组织获得认证范围内的业务过程和职能区域不可以抽查，仅标准条款可以抽查D.标准条款可以抽查，但针对内审和管理评审以及持续改进方面的审核不可缺少答案：D解析：第三方认证时的监督审核不一定是对整个体系的审核，这意味着在监督审核时，可以对组织获得认证范围内的部分内容进行抽查。对于选项A，组织获得认证范围内的职能区域可以抽查，但标准条款不可以抽查，这与题目中的“不一定是对整个体系的审核”相矛盾，因为标准条款是认证的基础，不能抽查。对于选项B，组织获得认证范围内的业务过程可以抽查，但职能区域不可以抽查，同样与题目中的“不一定是对整个体系的审核”相矛盾。对于选项C，组织获得认证范围内的业务过程和职能区域不可以抽查，仅标准条款可以抽查，这与监督审核的目的和原则不符。因此，正确答案是D，即标准条款可以抽查，但针对内审和管理评审以及持续改进方面的审核不可缺少。这是因为内审、管理评审和持续改进是组织自我完善和提高的重要环节，必须得到充分的审核和关注。21.《中华人民共和国网络安全法》规定，网络运营者应当制定（），及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险。A.网络安全事件应急预案B.网络安全事件补救措施C.网络安全事件应急演练方案D.网站安全规章制度答案：A解析：《中华人民共和国网络安全法》规定，网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险。因此，选项A“网络安全事件应急预案”是正确的答案。其他选项如“网络安全事件补救措施”、“网络安全事件应急演练方案”和“网站安全规章制度”并不符合法律的规定。22.下列哪个活动不是现场审核必须执行的活动？（）A.关注信息技术服务管理体系的内部审核和管理评审发现问题的改进情况B.控制措施执行情况C.关注信息技术服务管理体系内部审核和管理评审的执行情况D.关注信息技术服务管理体系运行的有效性答案：B解析：本题考查的是现场审核必须执行的活动。在现场审核中，审核员需要关注信息技术服务管理体系的内部审核和管理评审发现问题的改进情况，关注信息技术服务管理体系内部审核和管理评审的执行情况，以及关注信息技术服务管理体系运行的有效性。而控制措施执行情况并不是现场审核必须执行的活动，因此选项B是正确答案。23.在现场审核时，审核组有权自行决定变更的事项是（）。A.审核人日B.审核的业务范围C.审核日期D.审核组任务调整答案：D解析：在现场审核时，审核组的任务和职责是明确的，他们不能随意变更审核的范围、日期或人日。然而，根据审核的实际情况，审核组有权根据需要进行一些调整，以适应现场审核的需要。这些调整可能包括审核组内部的分工、任务分配等，但不涉及审核的核心要素，如审核范围、日期和人日。因此，正确答案是D，即审核组任务调整。24.ISQ/IEC20000-1:2018标准是依据管理体系高层结构，即（）对标准的结构进行调整的。A.ISO/IEC导则的一部分综合ISO补充附录B.ISO/IEC导则的一部分综合ISO补充结构层C.ISO/IEC导则的一部分综合ISO补充体系D.ISO/IEC导则的一部分综合ISO补充模型答案：A解析：根据题目描述，ISQ/IEC20000-1:2018标准是基于管理体系高层结构进行调整的，而这个高层结构在ISO/IEC导则中有所定义。在选项中，只有A选项提到“ISO/IEC导则的一部分综合ISO补充附录”，这与题目描述的“依据管理体系高层结构”是一致的。因此，正确答案为A。25.ISO/IEC20000-1:2018标准中术语“内部供应商”替换了上一版标准中的（）。A.内部组织B.内部群体C.内部合作方D.内部相关方答案：B解析：在ISO/IEC20000-1:2018标准中，术语“内部供应商”被引入，用以描述内部组织或部门为服务台提供特定服务或资源的角色。这一术语在上一版标准中并没有直接对应的术语，但根据上下文和术语的含义，可以推测“内部供应商”可能替换了上一版标准中的“内部合作方”这一术语。因此，答案为C选项“内部合作方”。而A选项“内部组织”虽然描述了内部的一个整体概念，但不如“内部合作方”具体；B选项“内部群体”过于宽泛，不符合“内部供应商”所描述的特定角色；D选项“内部相关方”虽然与内部有关，但不如“内部合作方”明确。因此，正确答案为C选项“内部合作方”。26.以下可认定为审核范围变更的事项是（）。A.受审核组织增加一个制造场所B.受审核组织职能单元和人员规模增加C.受审核组织业务过程增加D.以上全部答案：D解析：审核范围变更通常涉及受审核组织的结构、职能、过程等方面的变化。对于给出的选项，A表示受审核组织增加一个制造场所，这直接涉及了组织的物理结构变化；B表示受审核组织职能单元和人员规模增加，这涉及了组织的人员和职能方面的变化；C表示受审核组织业务过程增加，这涉及了组织业务过程的扩展。因此，所有这些变化都可以被认定为审核范围变更的事项。所以，答案为D，即以上全部。27.信息技术服务管理体系的服务生命周期的管理包括（）。A.服务的规划、设计、转换、移交和改进B.服务的计划、设计、转换、交付和改进C.服务的规划、设计、转换、交付和改进D.服务的计划、设计、转换、移交和改进答案：C解析：在信息技术服务管理体系中，服务生命周期的管理涉及服务的规划、设计、转换、交付和改进。这涵盖了从服务的初始规划到实施、运行和持续改进的全过程。因此，正确答案为C，即“服务的规划、设计、转换、交付和改进”。28.有效的列表记录必须保持（）。A.没有空行B.没有空列C.没有空格D.没有空页答案：A解析：列表记录需要按照一定的格式和规则进行排列，这样才能确保数据的准确性和完整性。对于有效的列表记录来说，必须保证每一行都有完整的数据，不能有空行，否则会影响数据的统计和分析。因此，正确选项是A，即“没有空行”。29.在计划的时间间隔，组织应核实配置信息的（），发现错误时，组织应采取必要的措施。A.完整性B.准确性C.可用性D.真实性答案：B解析：在计划的时间间隔，组织需要核实配置信息的准确性，以确保其正确无误。当发现错误时，组织应采取必要的措施进行纠正。因此，选项B“准确性”是正确的答案。选项A“完整性”是指信息的全面性和无遗漏，选项C“可用性”是指信息可以被访问和使用，选项D“真实性”是指信息的真实性和可靠性，与本题所描述的核实配置信息的准确性不相关。30.组织应确定服务连续性要求和目标，商定要求时应（）。A.考虑相关业务关系，服务目标，SLAs和风险B.考虑相关业务要求，服务目标，SLAs和控制C.考虑相关业务要求，服务要求，SLAs和风险D.考虑相关业务关系，服务要求，SLAs和控制答案：C解析：根据题目描述，组织应确定服务连续性要求和目标，商定要求时需要考虑相关业务要求、服务要求、SLAs和风险。选项C中的“考虑相关业务要求，服务要求，SLAs和风险”与题目描述相符，因此选择C。其他选项与题目描述不符，故不选。多选题（共10题，共10分）31.下列哪项的变化受变更管理控制？（）A.服务目录B.SLAC.服务需求D.供方合同答案：ABCD解析：变更管理控制涉及对服务目录、SLA（服务水平协议）、服务需求以及供方合同的管理和变更控制。这些项目都是与服务交付和运营相关的关键要素，因此它们的变化都受到变更管理控制的影响。服务目录记录了所有可用的服务及其相关信息，SLA定义了客户对服务提供者的服务期望，服务需求明确了客户或用户期望的服务类型和功能，供方合同则明确了服务提供者和客户之间的权利和义务。当这些项目发生变化时，需要通过变更管理来控制这些变化对服务交付和运营的影响，确保变更的顺利执行并满足客户的期望和要求。因此，A、B、C、D选项都是正确的。32.某电信运营商为客户提供通信服务，属于服务报告内容的是（）。A.下一年度服务变化的趋势B.服务可用性达成情况C.电信端资源容量D.客户投诉情况答案：ABCD解析：服务报告通常是为了向客户提供其接受服务的情况报告，应包含多方面的信息。选项A“下一年度服务变化的趋势”是对未来服务变化的一种预测或规划，对于客户了解未来的服务变化有一定的参考价值。选项B“服务可用性达成情况”是评估服务是否按照预期提供服务，是客户关心的重要方面。选项C“电信端资源容量”反映了电信资源的使用情况，对于客户了解网络状态和服务能力有一定的帮助。选项D“客户投诉情况”直接反映了客户对服务的满意度和存在的问题，对于改进服务和提升客户体验具有重要意义。因此，这四个选项都属于服务报告的内容。33.下列可作为成功实现业务关系流程的结果的是（）。A.识别了客户和相关方B.服务绩效被监视C.客户需求和期望被识别与监视D.服务范围的变更被识别答案：ABCD解析：成功实现业务关系流程，需要全面考虑业务关系中的各个方面，确保业务关系流程的顺畅运行。因此，需要识别客户和相关方，以便了解业务需求并建立有效的沟通渠道；服务绩效需要被监视，以便及时发现和解决问题，保证服务的质量和效率；客户需求和期望需要被识别与监视，以便更好地满足客户需求，提升客户满意度；服务范围的变更需要被识别，以便及时调整服务策略，适应市场变化。因此，选项A、B、C和D都是成功实现业务关系流程的结果。34.审核证据是指（）。A.与审核准则有关的信息B.经证实的信息C.可通过访谈、查阅文件记录、观察现场获得D.基于客观事实答案：ABCD解析：审核证据是指与审核准则有关的信息，这些信息必须是经证实的，并且可以通过访谈、查阅文件记录、观察现场等方式获得，基于客观事实。因此，选项A、B、C、D都是正确的。审核证据是审核过程中的重要依据，必须真实、准确、可靠，能够为审核结论提供支持。在审核过程中，审核员需要收集足够的审核证据，并进行客观的分析和判断，以确保审核结果的准确性和可靠性。35.最高管理层应确保建立了（），并与组织战略方向一致，以证实对信息技术服务管理体系的领导和承诺。A.服务管理计划B.服务管理方针C.服务管理目标D.服务管理指标答案：BC解析：根据题目描述，最高管理层应确保建立了与组织战略方向一致的计划或方针，以证实对信息技术服务管理体系的领导和承诺。在给出的选项中，A服务管理计划虽然与领导和承诺有关，但题目中并未明确提到“计划”，因此A选项不是最佳答案。B服务管理方针与题目的描述更为匹配，因为它涉及到最高管理层对体系的领导和承诺。C服务管理目标也与领导和承诺有关，因为目标通常是管理层希望达成的结果。D服务管理指标更多的是用于衡量和评估服务管理体系的绩效，而不是最高管理层为确保领导和承诺而建立的。因此，正确答案是B和C。36.信息技术服务管理体系的范围应依据（）确定。A.组织的外部和内部事项B.组织所识别的相关的要求C.组织实施的活动之间及其与其他组织实施的活动之间的接口和依赖关系D.ISO/IEC20000-1:2018的标准要求答案：ABC解析：信息技术服务管理体系的范围确定是一个复杂的过程，需要综合考虑多个因素。首先，组织的外部和内部事项，包括组织的运营环境、资源、能力以及与其他组织的交互等，都会对服务管理体系的范围产生影响。其次，组织所识别的相关的要求，包括法律法规、行业标准、客户需求等，也是确定服务管理体系范围的重要依据。最后，组织实施的活动之间及其与其他组织实施的活动之间的接口和依赖关系，也是确定服务管理体系范围时需要考虑的因素。因此，选项A、B、C都是正确的。而选项D提到的ISO/IEC20000-1:2018的标准要求，虽然是一个重要的参考标准，但并不是确定服务管理体系范围的唯一依据，因此不是本题的答案。37.配置信息应为每个配置项记录如下信息（）。A.CI名称B.唯一标识C.CI类型D.CI的描述答案：BCD解析：题目中提到的配置信息应该为每个配置项记录的信息包括CI名称、唯一标识、CI类型和CI的描述。然而，在给出的答案中，只有BCD被选中，这意味着可能存在错误或者遗漏。根据题目描述，应该选择A（CI名称）、C（CI类型）和D（CI的描述）。因此，正确答案应为ACD。38.首次会议的目的是（）。A.确认所有有关方(例如受审核方、审核组)对审核计划的安排达成一致B.介绍审核组成员C.确保所策划的审核活动能够实施D.针对实现审核目标的不确定因素而采取的特定措施答案：ABC解析：首次会议的目的是确认所有有关方（例如受审核方、审核组）对审核计划的安排达成一致，介绍审核组成员，并确保所策划的审核活动能够实施。因此，选项A、B、C都是首次会议的目的。选项D“针对实现审核目标的不确定因素而采取的特定措施”并不是首次会议的主要目的，因此不应被选作答案。39.根据计划的时间间隔，组织应（）并落实需求管理。A.为服务确定当前需求和预测未来需求B.对服务进行监测C.监视和报告服务的未来和现实需求D.改进服务的实际答案：AC解析：在问题中，要求组织“根据计划的时间间隔”做什么并落实需求管理。我们可以根据给出的选项逐一分析：A.为服务确定当前需求和预测未来需求：这个选项直接符合需求管理的要求，确定当前需求和预测未来需求是需求管理的核心内容。B.对服务进行监测：虽然监测服务是重要的一部分，但它并不直接涉及到需求管理。C.监视和报告服务的未来和现实需求：这个选项也符合需求管理的要求，它涉及到对需求的监视和报告，是需求管理的一部分。D.改进服务的实际：这个选项并没有明确指向需求管理，它可能涉及到服务改进的其他方面。因此，根据选项的内容和问题的要求，答案为A和C，即组织应根据计划的时间间隔为服务确定当前需求和预测未来需求，并监视和报告服务的未来和现实需求，以落实需求管理。40.服务请求应（）。A.记录和分类B.确定优先级C.响应和处置D.关闭答案：ABCD解析：服务请求是客户服务过程中的一个基本环节，它涉及到对请求的接收、处理和回应。在服务请求的处理过程中，首先需要对请求进行记录和分类，以便更好地管理和跟踪。接着，需要确定请求的优先级，以便根据重要性和紧急程度进行排序。然后，需要对请求进行响应和处置，以满足客户的需求和期望。最后，当请求得到解决或处理完毕后，需要进行关闭操作，以结束请求的处理流程。因此，选项A、B、C和D都是服务请求处理过程中必不可少的环节。主观题（共7题，共7分）41.审核员在A公司审核时发现，该公司是一个电信运营商，为最终客户提供通信服务。其服务交付过程包括客户需求分析、售前支持、售中实施、售后监控与维护等，覆盖主要业务部门和相关供方（如通信材料提供方），公司主管提供了服务交付过程的所有文档（含抽样客户的相关信息与文档）。若你是审核员，如何审核该公司的服务交付过程？参考答案应按服务的整个生命周期的过程去审核:1、查电信运营商是否对为客户提供的通信服务进行了整体规划，查服务的规划的合理性，是否与管理方针、目标和服务要求保持一致性。服务的整体规划是否考虑了资源的可调用性，抽：服务方案或服务策划3-5份。2、查电信运营商是否识别了服务整个生命周期中的相关方，识别是否充分，并应对相关方进行了管理，并査与服务相关的相关各方的绩效评价，抽：相关方名单、相关方评价记录、各相关方为电信运营商提供的服务或服务组件的清单。3、抽电信运营商提供的服务目录，内容是否完整、齐全，是否包含了需求分析、售前支持、售中实施、售后监控与维护这些服务项，及各项服务之间的相互关系，以及服务对象明细（客户、用户及其他相关方）。服务目录是否能够随时被适宜的相关方获取到。抽：服务目录或服务列表、相关方获取记录。4、查电信运营商的资产管控情况，是否识别全面了与服务相关的资产，由专门人员或部门进行管理，抽：资产清单及重要资产清单。5、查电信运营商提供服务的配置管理数据库，是否对配置项进行识别，并进行了唯一的标识，对照服务项进行对应查找，并且在配置表中是否明确了配置项类型、配置项当前的状态，以及与其他配置项的关系。查公司是否按计划的时间验证了配置信息的准确性。按项目抽：配置清单或配置表、服务变更申请单、当前配置基线表。解析：本题要求审核员审核一家电信运营商的服务交付过程。服务交付过程包括客户需求分析、售前支持、售中实施、售后监控与维护等，覆盖主要业务部门和相关供方。审核员应按照服务的整个生命周期的过程去审核，包括服务的规划、相关方的识别与管理、服务目录的完整性、资产管控情况以及配置管理数据库等方面。审核员需要抽查相关文档和记录，以验证服务交付过程的合规性和有效性。审核员还需要关注服务项之间的相互关系和服务对象明细，以及服务目录的获取情况。此外，审核员还需要关注配置管理数据库中的配置项识别、唯一标识、当前状态以及与其他配置项的关系等方面，以确保服务的准确性和可靠性。42.审核员在质量保证部査看了去年信息安全管理体系中开出的不符合项共35项，其中有30项已经釆取了纠正措施，并且有纠正措施的验证记录，但有5项没有釆取纠正措施，审核员据此开了不符合项，并结束了此项审核。这样的审核是否符合要求？为什么？如果请你去审核，你会怎么做？参考答案不符合要求。审核不够充分，没有继续跟踪审核整个内审过程的有效性，应作如下审核：（1）查组织内审程序，组织如何规定对未整改的不符合项的处理步骤。现场询问相关人员5项不符合未整改的原因。(2)询问相关人员或査阅相关资料(不符合项整改计划或验证记录)，了解已整改的30项的纠正措施实施情况，分析对不符合的原因确定是否充分，所实施的纠正措施是否有效；(3)所采取的纠正措施是否与相关影响相适宜，如对业务的风险影响，风险控制策略和时间点目标要求，与组织的资源能力相适应。(4)组织是否评估所釆取的纠正措施带来的风险，如果该风险可接受，则采取纠正措施，反之可采取适当的风险控制措施后再次评估残余风险，再整改。综上，如果所有纠正措施符合风险要求，与相关影响相适宜，则纠正措施适宜。解析：这个题目的主要焦点是评估一个审核过程是否符合要求，并且如果审核员自己进行审核，会采取何种方式。首先，从题目给出的信息中，我们可以看到审核员在质量保证部查看了去年信息安全管理体系中开出的不符合项共35项，其中有30项已经采取了纠正措施，并且有纠正措施的验证记录，但有5项没有采取纠正措施。这里，审核员只是基于这5项没有采取纠正措施的不符合项开了不符合项，并结束了审核。这样的审核过程是不符合要求的，因为审核员没有继续跟踪审核整个内审过程的有效性。如果我去审核，我会首先查看组织的内审程序，了解对未整改的不符合项的处理步骤，并询问相关人员5项不符合未整改的原因。接着，我会询问相关人员或查阅相关资料，了解已整改的30项的纠正措施实施情况，分析对不符合的原因确定是否充分，所实施的纠正措施是否有效。我还会检查所采取的纠正措施是否与相关影响相适宜，与组织的资源能力相适应。最后，我会评估组织是否评估所采取的纠正措施带来的风险，如果该风险可接受，则采取纠正措施，反之可采取适当的风险控制措施后再次评估残余风险，再整改。通过这样的审核过程，我可以确保所有的纠正措施都符合风险要求，与相关影响相适宜，从而确保纠正措施的适宜性。这样的审核过程才符合要求，能够确保组织的信息安全管理体系的有效性和完整性。43.创新公司的网络接入服务由互联网专业提供商提供，为了防止网络安全问题，他们签订了服务提供协议，规定了必要的安全要求、服务水准等事宜。互联网专业提供商为提高服务级别，釆用了新的技术，并通知了创新公司，创新公司认为既然是新技术，肯定比原来的要好，没有釆取任何行动。但由于互联网专业提供商的技术兼容问题，出现了网络中断，导致了创新公司的业务中断。参考答案不符合条款：ISO/IEC20000-l:2018标准8.5.3条款“组织应对新的或变更的服务或服务组件部署到运行环境中进行规划。”不符合事实：创新公司的网络供应商釆用了新的技术并通知了创新公司，创新公司认为既然是新技术肯定比原来的好，没有釆取任何措施，由于技术兼容问题，导致了业务中断。解析：根据题目描述，创新公司的网络接入服务由互联网专业提供商提供，并签订了服务提供协议。互联网专业提供商为提高服务级别采用了新的技术，并通知了创新公司。然而，创新公司认为既然是新技术，肯定比原来的要好，因此没有采取任何行动。最终，由于技术兼容问题导致网络中断，创新公司的业务也受到了影响。根据ISO/IEC20000-l:2018标准8.5.3条款，组织应对新的或变更的服务或服务组件部署到运行环境中进行规划。这意味着，当服务供应商采用新技术或进行服务变更时，接收服务的组织应该进行相应的规划和准备，以确保服务的连续性和稳定性。在这个案例中，互联网专业提供商采用了新技术，并通知了创新公司。然而，创新公司没有采取任何措施，导致了业务中断。因此，创新公司的行为不符合ISO/IEC20000-l:2018标准8.5.3条款的要求，即没有对新的服务或服务组件的部署进行规划。44.审核员在重工机构制造厂A审核时发现，该厂核心业务系统的IT产品供货来自于供应商B，审核员在A与B的相关文档中，未发现对供方服务连续性要求方面的活动与记录。A方经理回答说：B是我们多年的合作伙伴，口碑好，技术能力强，以前从未出过问题，我们非常信任他们，无需过多要求。参考答案不符合条款：ISO/IEC20000-1:2018标准8.3.4.1条款“组织应评估外部供应商的服务级别目标或其他合同义务与客户SLA的一致性，并管理已识别的风险。”不符合事实：重工机构制造厂A的IT产品供货来自于供应商B，未发现对供方服务连续性要求方面的活动与记录。解析：审核员在重工机构制造厂A审核时发现，该厂核心业务系统的IT产品供货来自于供应商B，但审核员在A与B的相关文档中，未发现对供方服务连续性要求方面的活动与记录。根据ISO/IEC20000-1:2018标准8.3.4.1条款，组织应评估外部供应商的服务级别目标或其他合同义务与客户SLA的一致性，并管理已识别的风险。因此，A方经理的回答“B是我们多年的合作伙伴，口碑好，技术能力强，以前从未出过问题，我们非常信任他们，无需过多要求”并不符合标准的要求。因为即使供应商B有良好的口碑和技术能力，组织仍然需要对供方服务连续性要求进行评估和管理，以确保供应商的服务能够满足客户的SLA要求，并管理可能的风险。因此，这个情况不符合标准的要求。45.审核员在检査信息资产责任人时，发现公司服务器的系统维护都是由服务器供应商负责的，审核员问运维主管为什么服务器维护是由供应商负责的