CCAA - 2018年06月审核知识（改考前）答案及解析 - 详解版（47题）

本资料由小桨备考整理，仅供学习参考，非官方发布2018年06月审核知识（改考前）答案及解析单选题（共30题，共30分）1.关于ITSMS范围的确定，以下论述正确的是（）。A.应考虑业务活动过程及其边界B.应考虑组织单元、组织的物理位置C.应考虑组织的资产和技术D.以上全部答案：D解析：题目要求选出关于ITSMS（信息技术服务管理）范围确定的正确论述。选项A提到“应考虑业务活动过程及其边界”，选项B提到“应考虑组织单元、组织的物理位置”，选项C提到“应考虑组织的资产和技术”，而选项D则包含了以上所有内容。因此，正确答案是D，即“以上全部”。这意味着在确定ITSMS的范围时，需要综合考虑业务活动过程及其边界、组织单元和物理位置，以及组织的资产和技术。2.ISO/IEC20000-1:2011中所指内部团体是（）。A.IT服务提供方组织内，除IT服务交付团队的所有其他职能部门B.IT服务提供方组织内，按项目划分的不同服务交付团队C.服务提供方组织内，按与服务交付团队的协议参与服务设计等活动的职能部门D.以上都对答案：C解析：ISO/IEC20000-1:2011中内部团体指的是服务提供方组织内，按与服务交付团队的协议参与服务设计等活动的职能部门。因此，选项C是正确的。选项A描述的是IT服务提供方组织内除IT服务交付团队的所有其他职能部门，这并不是ISO/IEC20000-1:2011中所指的内部团体；选项B描述的是按项目划分的不同服务交付团队，这也不是ISO/IEC20000-1:2011中所指的内部团体；选项D表示以上都对，但实际上只有选项C是正确的，因此选项D是错误的。3.从审核开始直到审核完成，（）都应对审核的实施负责。A.管理者代表B.审核方案人员C.认证机构D.审核组长答案：D解析：审核的实施责任应由审核组长来承担。审核组长是审核活动的负责人，负责确保审核活动的顺利进行，并对审核的结果负责。因此，从审核开始到审核完成，审核组长都应对审核的实施负责。选项A的“管理者代表”通常是质量管理体系中的关键人物，负责质量管理体系的领导和管理，但不一定直接参与审核实施；选项B的“审核方案人员”可能涉及审核计划的制定，但并不直接负责审核的实施；选项C的“认证机构”通常是对管理体系进行认证的机构，也不直接参与审核实施。因此，正确答案为D，即审核组长。4.IT服务管理中，以下不属于变更管理过程应予以管理的范围（）。A.与供方的合同变更B.用于服务连续性目的的固件升级C.事件中为复原一项服务需紧急更换CPUD.对于依赖IT业务过程的变更答案：A解析：IT服务管理中的变更管理过程，应管理的范围主要是与服务有关的变更。变更可以是对现有服务的修改、增加或删除，或者是与新服务有关的实施活动。选项A“与供方的合同变更”属于合同管理，而非与IT服务有关的变更。供方的合同变更更多地涉及商务和法务领域，不属于变更管理的范畴。选项B“用于服务连续性目的的固件升级”是与服务有关的变更，它可能影响服务的性能和可用性，因此属于变更管理的范围。选项C“事件中为复原一项服务需紧急更换CPU”也是在服务过程中发生的变更，属于变更管理的范围。选项D“对于依赖IT业务过程的变更”也是变更管理需要关注的内容，因为它可能影响到IT业务过程的稳定性和连续性。因此，不属于变更管理过程应予以管理的范围是选项A“与供方的合同变更”。5.第三方认证审核时确定审核范围的程序是（）。A.组织提出、与审核组协商、认证机构确认、认证合同规定B.组织申请、认证机构评审、认证合同规定、审核组确认C.组织提出、与咨询机构协商、认证机构确认D.认证机构提出、与组织协商、审核组确认、认证合同规定答案：B解析：在第三方认证审核中，确定审核范围的程序通常涉及多个步骤。首先，组织需要向认证机构提出认证申请，认证机构会对申请进行评审，以确定是否满足认证条件。评审通过后，认证机构会与组织签订认证合同，其中规定了审核的范围和其他相关条款。最后，审核组会依据认证合同确认具体的审核范围，并开始进行审核工作。因此，选项B“组织申请、认证机构评审、认证合同规定、审核组确认”是确定审核范围的正确程序。选项A中的“审核组协商”和选项C中的“与咨询机构协商”在常规流程中并不涉及，而选项D中的“认证机构提出”也不符合通常的做法，因为审核范围的确定通常是基于组织的申请和认证机构的评审结果。6.对于个人信息的使用，除法律法规另有规定外，应（）。A.得到个人信息主体的同意并按约定时间及时删除B.得到个人信息主体所在组织的同意，不须告知个人信息主体。C.个人信息持有者自行决定管理措施，不须告知个人信息主体。D.得到个人信息主体的同意并尽可能长时间保存。答案：A解析：根据个人信息保护相关法律法规，除法律法规另有规定外，对于个人信息的使用，应得到个人信息主体的同意，并按约定时间及时删除。因此，选项A“得到个人信息主体的同意并按约定时间及时删除”是正确的。选项B“得到个人信息主体所在组织的同意，不须告知个人信息主体”和选项C“个人信息持有者自行决定管理措施，不须告知个人信息主体”都不符合相关法律法规的规定。选项D“得到个人信息主体的同意并尽可能长时间保存”也不符合相关法律法规的规定，因为对于个人信息的保护，应当在合法、必要、正当的范围内进行，不得超出必要的时间限制。7.从审核中获得的（）应作为受审核组织管理体系的持续改进过程的输入。A.审核证据B.不符合项C.合理化建议D.审核发现答案：B解析：在审核过程中，审核员会收集各种证据和信息，这些证据和信息经过分析、评价和解释后，形成了审核发现。审核发现是对受审核组织管理体系的现状、符合性和有效性的评估结果，它包含了符合项和不符合项。这些审核发现应作为受审核组织管理体系的持续改进过程的输入，因为不符合项是改进的重点，而符合项则可以作为保持和改进的参考。因此，从审核中获得的“不符合项”应作为受审核组织管理体系的持续改进过程的输入，选项B为正确答案。8.认证审核时，审核组应（）。A.在审核前将审核计划提交受审核方确认B.在审核结束时将审核计划提交受审核方确认C.随着审核的进展与受审核方共同确认审核计划D.将审核计划提交审核委托方批准即可答案：A解析：根据题目要求，认证审核时，审核组应当在审核前将审核计划提交受审核方确认。这是因为审核计划是审核过程中的重要指导文件，需要在审核开始前明确审核范围、目的、方法和时间表等内容，以确保审核工作的顺利进行。审核组在审核前与受审核方确认审核计划，有助于确保审核的公正性、准确性和有效性。因此，选项A是正确的。选项B和C中的“审核结束时”和“随着审核的进展”都不是审核计划中通常要求的时间节点，选项D中提到的“审核委托方”并不是审核计划中通常涉及的对象，因此都是错误的。9.第三方认证审核时，关于审核报告，以下说法正确的是（）。A.每一次审核都必须提交审核报告B.一阶段审核结论不必确定认证注册，因此不一定提交C.监督审核可不必审核完整体系，因此不需提交审核报告D.基于调查性质的审核属于非正式审核，因此不需提交审核报告答案：A解析：审核报告是第三方认证审核的重要输出，它记录了审核的过程、发现的问题以及审核结论。每一次审核，无论是一阶段审核还是监督审核，都应该提交审核报告，因为审核报告是审核活动的记录和证明，也是审核结论的依据。一阶段审核结论虽然不必确定认证注册，但审核报告仍然需要提交，因为它包含了审核的详细情况，对于后续的审核或认证决定具有重要的参考价值。监督审核虽然可能不覆盖完整体系，但审核报告仍然需要提交，因为它记录了监督审核的情况，对于维持认证的有效性具有重要的作用。基于调查性质的审核属于非正式审核，但这并不意味着不需提交审核报告，因为非正式审核同样需要记录审核的情况和结论。因此，选项A“每一次审核都必须提交审核报告”是正确的。10.当问题管理流程找到一个事件的真实原因和找到解决的方法，该问题应分类为（）。A.已知错误B.已知事件C.已知问题D.已知原因答案：A解析：根据题目描述，当问题管理流程找到一个事件的真实原因和找到解决的方法，这意味着该问题已经被识别、分析和解决，因此应该被分类为“已知错误”。因此，答案为A。选项B“已知事件”和选项C“已知问题”可能不足以涵盖问题管理流程的全部成果，而选项D“已知原因”只是描述了找到原因的情况，没有包括找到解决方法的部分。因此，A选项“已知错误”是最符合题目描述的答案。11.对于第三方服务提供方，以下描述正确的是（）。A.为了监视和评审第三方提供的服务，第三方人员提供服务时应有人员全程陪同B.应定期度量和评价第三方遵从商定的安全策略和服务级别的程度C.第三方服务提供方应有符合ITIL的流程D.第三方服务的变更须向组织呈报以备案答案：B解析：选项A中提到的“第三方人员提供服务时应有人员全程陪同”并不是所有第三方服务的通用要求，所以A不正确。选项C中的“第三方服务提供方应有符合ITIL的流程”并不是所有第三方服务的必要要求，ITIL流程只是一种参考框架，所以C不正确。选项D中的“第三方服务的变更须向组织呈报以备案”同样也不是所有第三方服务的通用要求，所以D不正确。选项B中提到的“应定期度量和评价第三方遵从商定的安全策略和服务级别的程度”是对于第三方服务的正确描述，第三方服务提供方应确保满足商定的服务级别和安全策略，并且需要定期对其服务进行度量和评价，所以B是正确的。12.服务提供方应监视并报告预算的支出，（），从而管理支出。A.评审财务成本B.评审财务预报C.有效的财务控制和授权D.通过变更管理过程来对服务财务变更进行评估和标准答案：B解析：题干中提到服务提供方应监视并报告预算的支出，接着提到一个动作来管理支出。根据常识和财务管理的知识，管理支出通常涉及到对财务的评审和预报。选项A“评审财务成本”虽然与财务有关，但不够具体；选项C“有效的财务控制和授权”虽然与财务控制有关，但题干中并未明确提到授权；选项D“通过变更管理过程来对服务财务变更进行评估和标准”虽然与变更管理有关，但与题干中的“监视并报告预算的支出”不直接相关。而选项B“评审财务预报”与题干中的“监视并报告预算的支出”有直接的关联，因为预报通常是预算的一部分，通过评审预报可以更好地管理支出。因此，正确答案是B。13.关于SLA和0LA的区别和联系，以下说法正确的是（）。A.SLA定义拟交付的服务，0LA定义为交付服务所需的内部支持B.SLA面向外部顾客，0LA面向内部顾客C.SLA具有法律约束力，0LA是可选的最佳实践D.SLA定义服务级别要求，0LA定义服务级别指标答案：A解析：SLA（ServiceLevelAgreement）是服务级别协议，它定义了服务提供商和客户之间关于服务交付的协议，包括服务级别要求、服务质量、可用性等。而OLA（OperationsLevelAgreement）是操作级别协议，它定义了内部支持流程，以确保服务提供商能够按照SLA的要求提供服务。因此，SLA定义拟交付的服务，而OLA定义为交付服务所需的内部支持，所以选项A是正确的。选项B中的描述是错误的，因为SLA和OLA都是面向内部顾客的，只是面向的对象不同。选项C中的描述也是错误的，SLA和OLA都不是法律约束性的，但它们都是服务交付的重要部分。选项D中的描述也是错误的，SLA和OLA都定义服务级别，但它们的重点不同，SLA更侧重于服务交付的要求，而OLA更侧重于内部支持流程。14.国家对于经营性互联网信息服务实施：A.备案制度B.许可制度C.行政监管制度D.备案与行政监管相结合的管理制度答案：B解析：《互联网信息服务管理办法》规定，国家对经营性互联网信息服务实行许可制度；对非经营性互联网信息服务实行备案制度。未取得许可或者未履行备案手续的，不得从事互联网信息服务。因此，国家对于经营性互联网信息服务实施的是许可制度。因此，正确答案为B。15.关注ISO/IEC20000-1:2011体现的ITIL“4P”要素，以下说法不正确的是（）。A.人员、过程、伙伴、供方B.人员、过程、产品、技术C.人员、过程、产品、伙伴D.人员、产品、技术、伙伴答案：C解析：在ISO/IEC20000-1:2011中，ITIL的“4P”要素指的是人员（People）、过程（Processes）、伙伴（Partners）和供方（Suppliers）。因此，选项C中的“产品”并不是ITIL“4P”要素之一，所以是不正确的说法。其他选项A、B和D中的“人员”、“过程”、“伙伴”和“供方”或“技术”都是ITIL“4P”要素的一部分，所以是正确的。因此，正确答案是C。16.运用密码技术对信息系统进行系统等级保护建设和整改的，必须采用经国家密码管理部门批准使用或者准于销售的密码产品进行安全保护，不得釆用（）的密码产品，未经批准不得采用含有加密功能的进口信息技术产品。A.国外引进B.自行研制C.委托研制D.国外引进或者擅自研制答案：D解析：根据题目中的描述，运用密码技术对信息系统进行系统等级保护建设和整改的，必须采用经国家密码管理部门批准使用或者准于销售的密码产品进行安全保护。这意味着密码产品的使用需要经过国家密码管理部门的批准。未经批准不得采用含有加密功能的进口信息技术产品，这进一步强调了使用密码产品需要符合相关法规和标准。因此，选项D“国外引进或者擅自研制”的密码产品是不被允许的，符合题目要求。其他选项如国外引进、自行研制和委托研制并没有明确提到不被允许，因此不是正确答案。17.一个用户通知帮助团队，说他的电脑不能正常工作，这是一个（）。A.事件B.已知错误C.问题D.变更请求答案：A解析：用户通知帮助团队，说他的电脑不能正常工作，这是一个事件。事件是指发生的事情，用户报告电脑不能正常工作，这是一个具体的事件，而不是已知错误、问题或变更请求。因此，答案为A，即事件。18.关于服务级别协议(SLAs)，以下说法正确的是（）。A.正式的服务级别协议即服务提供方与顾客之间的服务合同B.服务级别协议应包括约定的服务目标、工作量特征C.服务级别协议仅在服务提供方与顾客之间签署，关于供方的服务则按釆购过程控制D.A+C答案：B解析：根据题目选项：A.正式的服务级别协议即服务提供方与顾客之间的服务合同*这个说法并不全面。服务级别协议确实通常与服务合同相关，但它不仅仅是服务合同，它还包括了服务提供方和顾客之间约定的服务目标、工作量特征等。因此，A选项不正确。B.服务级别协议应包括约定的服务目标、工作量特征*这个说法是正确的。服务级别协议（SLA）确实包括双方约定的服务目标和工作量特征，以确保服务提供方和顾客对服务有共同的理解和期望。C.服务级别协议仅在服务提供方与顾客之间签署，关于供方的服务则按釆购过程控制*这个说法是不准确的。服务级别协议通常涉及服务提供方和顾客双方，但并不一定只涉及这两方。在某些情况下，它可能还涉及第三方，如中间商或供应商。此外，关于供方的服务是否按采购过程控制，与SLA的定义无关。因此，C选项不正确。D.A+C*由于A和C选项都是错误的，因此D选项（它们的组合）也是错误的。综上所述，正确的选项是B：服务级别协议应包括约定的服务目标、工作量特征。19.服务的连续性是管理一系列影响（），持续提供协定级别服务的能力。A.单个或多个服务的脆弱点和事件B.仅是单个服务的风险和事件C.单个或多个服务的风险和事态D.单个或多个服务的风险和事件答案：D解析：根据题目中的描述，“服务的连续性是管理一系列影响单个或多个服务的风险和事件，持续提供协定级别服务的能力。”这句话明确指出，服务的连续性涉及管理的是“单个或多个服务的风险和事件”，因此正确答案为D选项。A选项“单个或多个服务的脆弱点和事件”没有明确指出是“风险”，B选项“仅是单个服务的风险和事件”则缩小了范围，只考虑了单个服务，而C选项“单个或多个服务的风险和事态”中的“事态”一词在原文中并未出现，因此都不符合题意。20.只有能够（）信息方可作为审核证据。A.确定的B.验证的C.证实的D.可追溯的答案：B解析：根据题干，“只有能够（）信息方可作为审核证据。”这里要求填写的是一个动词，用来描述某种操作或行为，使信息成为审核证据。A选项“确定的”是一个形容词，不能作为动词使用，排除；C选项“证实的”虽然可以作为动词使用，但通常用于描述已经发生的事实，与题干中的“作为审核证据”不太匹配；D选项“可追溯的”也是一个形容词，不能作为动词使用，排除。B选项“验证的”是一个动词，表示对信息进行验证，使其具备作为审核证据的条件，符合题意。因此，正确答案是B。21.配置管理数据库(CMDB)中的哪个属性有助于查明某个时刻的哪些配置项正在进行维护？A.购买日期B.责任人(Owner)C.位置D.状态答案：D解析：在配置管理数据库（CMDB）中，要查明某个时刻哪些配置项正在进行维护，最关键的属性是“状态”。状态属性通常用来描述配置项当前的运行状态，例如正常、维护、故障等。因此，通过查询配置项的状态属性，我们可以了解哪些配置项在特定时刻正在进行维护。而其他选项如购买日期、责任人和位置虽然与配置项有关，但它们并不直接提供关于配置项维护状态的信息。因此，正确答案是“状态”。22.观察员应承担由审核委托方和受审核方（）与健康安全相关的义务。A.规定的B.法定的C.约定的D.确定的答案：C解析：根据题目中的描述，观察员需要承担由审核委托方和受审核方“与健康安全相关的义务”。在四个选项中，只有“约定的”能够明确表示这种义务是由双方共同协商确定的，而不是由法律、规定或确定的方式规定的。因此，正确答案是C，即“约定的”。23.可用性是安全管理流程要实现的目标之一。以下哪项正确地说明了“可用性”这个术语的含义（）。A.对数据的保护以防止未经授权的访问和使用B.按授权访问数据的能力C.验证数据正确性的能力D.对数据安全存储，每天做数据检验答案：B解析：可用性指的是按授权访问数据的能力。这意味着在安全管理流程中，授权用户可以合法地访问和使用数据，同时确保数据在访问过程中的可用性和完整性。这是可用性目标的核心含义。选项A、C和D都与数据的安全性有关，但并非直接针对可用性。因此，正确答案是B。24.散布图是（）。A.描述成对变量之间关系的图B.描述若干变更之间线性关系的图C.描述一组变更按正态函数分布的图D.描述一组变更按时间分布的图答案：A解析：散布图是用来描述成对变量之间关系的图。它通过将两个变量分别作为横坐标和纵坐标，在坐标系上标出各个数据点，从而直观地展示这两个变量之间的关系。因此，选项A“描述成对变量之间关系的图”是正确的。选项B“描述若干变量之间线性关系的图”描述不准确，因为散布图并不限于描述线性关系。选项C“描述一组变量按正态函数分布的图”和选项D“描述一组变量按时间分布的图”都与散布图的定义不符。25.认证审核期间，当审核证据表明审核目的不能达到时，审核组应（）。A.一起讨论，决定后续实施B.审核组长权衡，决定后续措施C.由受审核方决定后续措施D.报告审核委托方并说明理由，确定后续措施答案：D解析：在认证审核期间，当审核证据表明审核目的不能达到时，审核组应该报告审核委托方并说明理由，确定后续措施。这是因为审核组作为第三方机构，其职责是确保审核的公正性和客观性，如果审核证据表明审核目的不能达到，审核组应该及时报告委托方，并说明理由，以便委托方能够了解审核情况并做出相应的决策。同时，审核组也需要确定后续措施，以确保审核的顺利进行。因此，选项D“报告审核委托方并说明理由，确定后续措施”是正确的选择。其他选项如一起讨论、审核组长权衡、由受审核方决定后续措施等都不符合审核组的职责和角色。26.审核组无权变更的事项包括（）。A.审核组资源分配B.审核目的、范围、准则C.审核路线D.以上都不对答案：B解析：审核组在审核过程中，其职责和权限是明确的。审核组无权变更的事项包括审核目的、范围、准则，因为这些是事先确定的，并且对于整个审核过程具有决定性的影响。资源分配和审核路线虽然可能由审核组进行一定的调整，但通常是在遵循预先设定的审核目的、范围、准则的前提下进行的。因此，选项B“审核目的、范围、准则”是审核组无权变更的事项。27.我国法律法规执行顺序为（）。A.法律、部门规章、地方政府规章、行政法规B.法律、行政法规、部门规章或地方政府规章C.法律、部门规章、行政法规、地方政府规章D.法律、地方政府规章、部门规章、行政法规答案：B解析：《立法法》规定，法律、行政法规和地方性法规、自治条例或单行条例是由全国人大及其常委会制定的规范性文件，部门规章和地方政府规章是由国务院所属的部委和省级政府制定的规范性文件。法律的效力高于行政法规、地方性法规、规章。行政法规的效力仅次于宪法和法律，高于地方性法规和规章。地方性法规的效力，除有关法律另有规定外，高于本行政区域内同级和下级地方政府规章。自治条例和单行条例只能在民族自治地方适用。部门规章之间、部门规章与地方政府规章之间具有同等效力，在各自的权限范围内施行。因此，我国法律法规执行顺序为法律、行政法规、部门规章或地方政府规章。故本题选B。28.信息系统安全等级保护中密码的（）等，应当严格执行国家密码管理的有关规定。A.配备、保管和管理B.生产、使用和管理C.配备、使用和管理D.配备、使用和更新答案：C解析：根据《信息系统安全等级保护基本要求》中的规定，信息系统安全等级保护中密码的配备、使用和管理应当严格执行国家密码管理的有关规定。因此，正确答案为“配备、使用和管理”。选项A“配备、保管和管理”和选项B“生产、使用和管理”均不符合规定，选项D“配备、使用和更新”中的“更新”也不符合题目要求。因此，正确答案为C。29.以下属于单点故障的情况是（）。A.巡检时发现的唯一故障B.所有服务器使用一台UPS为供电，数据中心仅有此一台UPSC.所有的IT设备使用一条专线联网，由于带宽资源充足故未构建其他线路D.B+C答案：D解析：单点故障是指系统中某个单一点发生故障，导致整个系统或系统的一部分无法正常运行。选项A中的“唯一故障”可能指的是一个设备或组件的故障，但题目中并未明确说明该故障对整个系统的影响，因此不能确定是单点故障。选项B中，所有服务器使用一台UPS供电，若UPS发生故障，则所有服务器都将受到影响，这符合单点故障的定义。选项C中，所有的IT设备使用一条专线联网，虽然只有一条线路，但带宽资源充足，且未构建其他线路，因此不能确定是单点故障。选项D中，B和C的描述都符合单点故障的定义，因此D是正确的。30.下列一定属于新变更服务的是（）。A.银行新网银系统应用B.航空公司售票系统更新C.医院挂号系统上线D.铁路线下售票服务撤销答案：B解析：新变更服务是指服务内容、方式、手段等发生新的变化。A选项“银行新网银系统应用”虽然涉及系统应用，但并未明确说明是新的服务，可能是对原有服务的升级或改进。C选项“医院挂号系统上线”同样，只是系统上线，并未明确说明是新服务。D选项“铁路线下售票服务撤销”是服务撤销，不属于新变更服务。B选项“航空公司售票系统更新”明确提到了“更新”，意味着售票系统发生了新的变化，符合新变更服务的定义。因此，正确答案是B。多选题（共10题，共10分）31.当不能正常进入服务场所时，应可以获得（）。A.服务连续性计划B.联系人名单C.CMDBD.应急资源答案：ABC解析：本题考查的是服务连续性管理的基础知识。服务连续性计划、联系人名单和CMDB（配置管理数据库）都是确保在无法正常进入服务场所时，能够维持服务运行的重要工具。A选项“服务连续性计划”描述了当服务受到干扰时，如何维持或恢复服务的过程。它包括了恢复策略、恢复步骤、资源需求等，确保在发生问题时，能够迅速、有效地恢复服务。B选项“联系人名单”提供了在紧急情况下可以联系的关键人员的联系方式。这包括IT支持团队、业务连续性团队、供应商等，确保在无法进入服务场所时，能够及时获得帮助和支持。C选项“CMDB”是配置管理数据库，记录了组织的所有配置项及其关系。在无法进入服务场所时，通过CMDB可以快速了解服务的配置情况，包括依赖关系、资源需求等，从而进行必要的调整和维护。D选项“应急资源”虽然也是应急管理中的重要部分，但题目中并未明确提到应急资源是在无法进入服务场所时可以获得的内容，因此D选项不是最佳答案。综上所述，当不能正常进入服务场所时，应可以获得服务连续性计划、联系人名单和CMDB。因此，答案为A、B、C。32.服务提供方应确保事件和服务请求流程相关人员能够访问和使用相关信息，相关信息包括（）。A.事件和服务请求管理程序B.已知错误C.问题解决方案D.配置管理数据库答案：ABCD解析：根据题目描述，服务提供方需要确保事件和服务请求流程相关人员能够访问和使用相关信息。这意味着相关信息应该是与事件和服务请求管理相关的，并且对于相关人员来说是有用的。选项A“事件和服务请求管理程序”显然是与事件和服务请求管理相关的，相关人员需要能够访问和使用这个程序来管理事件和服务请求。选项B“已知错误”是与事件和服务请求相关的，相关人员需要了解已知的错误以便更好地处理事件和服务请求。选项C“问题解决方案”也是与事件和服务请求相关的，相关人员需要能够访问和使用这些解决方案来解决遇到的问题。选项D“配置管理数据库”可能包含了与事件和服务请求相关的配置信息，相关人员需要能够访问和使用这些信息来进行配置管理。综上所述，服务提供方应确保事件和服务请求流程相关人员能够访问和使用相关信息，包括A事件和服务请求管理程序、B已知错误、C问题解决方案和D配置管理数据库。因此，答案为ABCD。33.关于商用密码技术和产品，以下说法正确的是（）。A.任何组织不得随意进口密码产品，但可以出口商用密码产品B.商用密码技术属于国家秘密C.商用密码是对不涉及国家秘密的内容进行加密保护的产品D.商用密码产品的用户不得转让其使用的商用密码产品答案：BCD解析：A选项提到“任何组织不得随意进口密码产品，但可以出口商用密码产品”，这与题目中的描述不符。题目中并没有明确提到可以出口商用密码产品，因此A选项是错误的。B选项说“商用密码技术属于国家秘密”，这是正确的。商用密码技术确实属于国家秘密，因为它涉及到国家安全和保密。C选项说“商用密码是对不涉及国家秘密的内容进行加密保护的产品”，这也是正确的。商用密码主要用于保护不涉及国家秘密的信息，确保信息的安全性和机密性。D选项提到“商用密码产品的用户不得转让其使用的商用密码产品”，这也是正确的。商用密码产品的用户确实不得转让其使用的商用密码产品，以确保密码的安全性和保密性。综上所述，正确答案是B、C和D。34.审核证据是指（）。A.与审核准则有关的信息B.经证实的信息C.可通过访谈、查阅文件记录、观察现场获得D.基于客观事实答案：ABCD解析：审核证据是指与审核准则有关的信息，这些信息必须是经证实的，并且可以通过访谈、查阅文件记录、观察现场等方式获得，基于客观事实。因此，选项A、B、C、D都是正确的。审核证据是审核过程中的重要依据，必须真实、准确、可靠，能够为审核结论提供支持。在审核过程中，审核员需要收集足够的审核证据，并进行客观的分析和判断，以确保审核结果的准确性和可靠性。35.服务提供方应与企业对（）和硬件的发布进行策划A.组件B.服务C.软件D.系统答案：BCD解析：服务提供方与企业合作时，通常需要对服务、软件和系统进行策划。服务指的是双方合作提供的具体服务内容；软件则涉及到技术层面，如应用程序、操作系统等；系统则可能指整个技术架构或业务流程。组件通常指的是较小的、可独立工作的单元，虽然它在某些情境下也会被考虑，但在此题目中，它并不是主要的策划对象。因此，正确选项为B、C、D，即服务、软件和系统。36.首次会议的目的是（）。A.确认所有有关方(例如受审核方、审核组)对审核计划的安排达成一致B.介绍审核组成员C.确保所策划的审核活动能够实施D.针对实现审核目标的不确定因素而采取的特定措施答案：ABC解析：首次会议的目的是确认所有有关方（例如受审核方、审核组）对审核计划的安排达成一致，介绍审核组成员，并确保所策划的审核活动能够实施。因此，选项A、B、C都是首次会议的目的。选项D“针对实现审核目标的不确定因素而采取的特定措施”并不是首次会议的主要目的，因此不应被选作答案。37.对于业务关系管理，下列哪些活动是必须的（）。A.指定专职人员管理客户关系和客户满意度B.定期对客户进行拜访，了解其需求C.了解所有客户的满意程度D.对服务投诉进行记录和调查答案：ABD解析：业务关系管理是一个重要的环节，旨在确保公司与客户之间的良好关系，从而提升客户满意度和忠诚度。在业务关系管理中，指定专职人员管理客户关系和客户满意度是确保客户关系的专业性和持续性的关键。定期对客户进行拜访，了解其需求，有助于公司更好地满足客户的期望，提供个性化的服务。对服务投诉进行记录和调查，有助于公司及时发现问题，改进服务，提升客户满意度。了解所有客户的满意程度虽然重要，但不一定是“必须的”活动，因为它可能涉及大量的资源和时间，而且可能不如其他活动直接和有效地提升客户满意度。因此，选项A、B和D是业务关系管理中必须的活动。38.服务提供方应在服务管理策划中定义和包含服务管理体系（SMS）的范围，考虑下列哪些因素？（）A.客户和他们的位置B.用于提供服务的技术C.已知知识D.服务提供方交付服务的地理位置答案：ABC解析：服务管理策划中定义和包含服务管理体系（SMS）的范围时，需要考虑的因素包括：A.客户和他们的位置：服务管理体系的范围应当明确涵盖服务的接收方，即客户，以及他们的位置。这是因为服务的提供和接收往往与地理位置有关，例如，某些服务可能只在特定地区提供。B.用于提供服务的技术：服务提供方使用的技术也是确定服务管理体系范围的重要因素。不同的技术可能涉及不同的管理要求，因此需要在策划中予以考虑。C.已知知识：虽然“已知知识”可能是一个宽泛的概念，但在服务管理策划中，已知的知识、经验和行业标准等都可以作为确定服务管理体系范围的参考因素。D.服务提供方交付服务的地理位置：虽然地理位置可能与客户的位置有关，但在此选项中，它更多地是指服务提供方自身的地理位置，而不是客户的位置。在服务管理体系的策划中，服务提供方的地理位置可能不是决定服务管理体系范围的关键因素。因此，此选项不符合题目要求。综上所述，选项A、B和C是服务提供方在服务管理策划中定义和包含服务管理体系（SMS）的范围时需要考虑的因素。39.信息技术服务管理体系审核的范围即（）。A.组织的全部经营管理范围B.组织的全部信息技术服务管理范围C.组织根据其业务、组织、位置、资产和技术等方面的特性确定的信息技术服务管理体系范围D.组织承诺按照ISO/IEC20000-1标准要求建立、实施和保持信息技术服务管理体系的范围答案：CD解析：信息技术服务管理体系审核的范围应由组织根据其业务、组织、位置、资产和技术等方面的特性来确定，同时组织还应承诺按照ISO/IEC20000-1标准要求建立、实施和保持信息技术服务管理体系。因此，选项C和D都是正确的。选项A“组织的全部经营管理范围”和选项B“组织的全部信息技术服务管理范围”与题目描述不符，因此是错误的。40.关于配置管理，以下说法正确的是（）。A.一个配置项可以同时是任何其他配置项的一部分B.选择合适的配置项颗粒度可在可用性和可控制水平上达到平衡C.配置管理是资产管理的一部分D.配置管理是变更管理的结果答案：AD解析：配置管理是一个关键的系统工程实践，它确保了在系统生命周期内对其组件的标识和控制。关于给出的选项分析如下：A.一个配置项可以同时是任何其他配置项的一部分：这是配置管理的基本概念之一。配置项可以是更大的配置项（如系统）的一部分，也可以是其他更小配置项（如模块）的组成部分。B.选择合适的配置项颗粒度可在可用性和可控制水平上达到平衡：虽然选择合适的配置项颗粒度的确有助于平衡可用性和可控制性，但这不是配置管理的核心特性，因此此选项不完全正确。C.配置管理是资产管理的一部分：虽然配置管理和资产管理在系统工程中有紧密的联系，但说配置管理是资产管理的一部分并不完全准确。配置管理更侧重于对系统组件的标识和控制，而资产管理更侧重于对资产（如硬件、软件、文档等）的管理。D.配置管理是变更管理的结果：这一说法是不准确的。实际上，配置管理是变更管理的基础，它为变更管理提供了上下文和基线，以确保变更的准确性和一致性。变更管理确保对配置项的更改得到适当的控制和记录，但这并不意味着配置管理是变更管理的结果。因此，选项A和D是正确的。选项B和C的描述存在部分错误或不够准确。主观题（共7题，共7分）41.举例说明如何在审核过程中采取跟踪的方法。举例场景为在交流过程中了解到的一个需要解决问题的服务请求。参考答案举例：审核服务提供方服务台事件记录日志，发现其服务的顾客提出了事件或服务请求。跟踪审核如下：1）根据ISO/IEC20000标准要求，是否对事件清晰的进行了记录，是否对事件的紧急情况和影响进行了排序，是否对事件进行了分类处理，事件记录的更新信息，特别需要去查本周期内是否有事件未得以解决而进行的升级处理，是否升级为重大事件，按重大事件管理流程进行实施，包括通知最高管理者，是否有专人负责重大事件的处理。事件是否得到了解决，进行了正式的关闭。在这些过程中是否适当与客户进行了通报情况的处理情况。在事件管理环节中，是否可以获取到事件或服务请求管理流程、已知的错误、解决的问题和配置配置管理数据库。如果无法获取，应跟踪审核配置管理流程对CMDB的处理。2）对服务台获取的事件或服务请求继续跟踪问题管理流程，是否对事件所涉及的问题进行了识别、记录是否清楚、对问题进行了排序、分类，对问题是否有近一步的升级处理，以及问题的解决处理过程以及关闭过程的处理跟踪。问题管理流程中是否对近周期内的事件进行了数据分析和趋势分析，是否形成了分析报告。以及问题所需的配置项（CI）变更应通过提交变更请求解决。3）继续跟踪变更请求的变更流程处理过程，例如：对变更请求进行记录和分类，记录后是否进行了变更项的评估，评估过程的记录是否保留，评估过程是否考虑了风险、对服务和客户潜在的冲击、服务需求、业务收益、技术便利性和财务影响。评估后是否对变更内容进行了开发和测试，查相关的开发或测试记录。4）跟踪配置管理或发布部署流程，当批准变更后，应将服务请求的相关变更内容传递给发布和部署流程，进行发布和部署，并且提交配置管理过程进行修改CMDB。解析：本题要求举例说明在审核过程中采取跟踪的方法。首先，从服务提供方的服务台事件记录日志中发现一个需要解决问题的服务请求。接着，以这个事件或服务请求为例，说明如何采取跟踪的方法进行审核。1.跟踪事件管理流程：按照ISO/IEC20000标准的要求，对事件进行记录、排序、分类和更新，确保事件得到了妥善的处理，并与客户进行了适当的通报。2.跟踪问题管理流程：对事件所涉及的问题进行识别、记录、排序和分类，跟踪问题的解决和关闭过程，并进行数据分析和趋势分析，形成分析报告。3.跟踪变更请求流程：对变更请求进行记录和评估，进行开发和测试，确保变更内容得到了正确的处理。4.跟踪配置管理或发布部署流程：在批准变更后，确保将服务请求的相关变更内容传递给发布和部署流程，进行发布和部署，并提交配置管理过程进行修改CMDB。以上步骤构成了一个完整的跟踪审核过程，确保了服务请求得到了妥善的处理，并遵循了相关的标准和流程。42.请阐述变更管理过程与其他过程的关系。参考答案首先，变更管理流程的范围由配置管理和发布管理决定。配置管理为获取变更影响提供信息。变更执行后，配置管理将会更新配置管理数据库。变更管理的相关信息的获取也来自于事件管理、问题管理、服务级别管理、可用性管理、能力管理、客户等。以上任何一个流程的变化，都会生成变更请求，由变更管理过程进行记录、分类、规划、创建、实施这些变更内容。然后输出到配置管理及发布和部署管理流程中进行发布和修改配置管理数据库。事件管理、问题管理流程中，服务台接顾客的事件和服务请求信息，转入事件和问题管理流程进行处理和分析，为彻底解决事件和问题的影响，必须涉及配置项的变更，此时，需要变更管理流程根据现有CMDB的情况，做出是否进行变更的评估决定，确认变更后，转入配置管理流程，对配置管理数据库的配置项进行修改操作。服务级别管理流程中，由于顾客或服务提供方的变化，导致产生了新的服务需求或需变更的服务需求，形成变更请求后转入变更管理流程，评估后实施变更。其他流程类似，会形成变更请求（RFC），输入到变更管理流程。其次，任何流程不可随意对配置项进行善自修改，必须经过变更管理流程对变更请求予以评估变更的风险，包括定应考虑风险、对服务和客户潜在的冲击、服务需求、业务收益、技术便利性和财务影响等内容。评估后对需要实施的变更进行开发和测试，方可实施变更。解析：此答案详细阐述了变更管理过程与其他过程的关系。首先，变更管理流程的范围由配置管理和发布管理决定，变更管理相关信息来源于多个流程。其次，变更管理在事件管理、问题管理、服务级别管理等流程中起到关键作用，确保配置项变更的评估和决策。最后，变更管理过程对变更请求进行风险评估，确保变更的顺利实施。答案结构清晰，逻辑严密，符合题目要求。43.A公司为其顾客提供生产数据平台运维服务，按双方合同，顾客要求须保障该项平台可用性99%，年宕机时间不大于8小时，A公司使用B公司的云基础设施资源支持该生产数据平台的运行，查A公司与B公司之间的服务合同，规定B公司应保障基础设施年可用率为90%，故障响应时间2小时，没有有关中断解决的要求。参考答案不符合条款：ISO/IEC20000-1:2011标准7.2条款“服务提供方应与供应商协定服务级别，以支持服务提供方与客户订立的SLAs，并保持一致。”不符合事实：A公司与顾客约定的服务级别为：该项平台可用性99%，年宕机时间不大于8小时，而A公司在与供应商B公司签订的服务合同中未规定中断解决的相关要求。解析：根据题目描述，A公司为其顾客提供生产数据平台运维服务，并承诺平台可用性为99%，年宕机时间不大于8小时。然而，A公司使用B公司的云基础设施资源来支持该生产数据平台的运行。在A公司与B公司之间的服务合同中，B公司承诺基础设施年可用率为90%，故障响应时间为2小时，但没有规定中断解决的相关要求。从标准ISO/IEC20000-1:2011的第7.2条款来看，服务提供方（A公司）应与供应商（B公司）协定服务级别，以支持服务提供方与客户订立的SLAs，并保持一致。这意味着A公司与B公司之间的服务合同应当反映A公司与顾客之间的SLA要求，特别是关于可用性和中断解决的要求。然而，题目中明确指出，A公司与B公司之间的服务合同没有规定中断解决的相关要求，这与A公司与顾客约定的服务级别存在不一致。因此，根据ISO/IEC20000-1:2011标准7.2条款，A公司与B公司之间的服务合同不符合标准要求。综上所述，答案中的不符合条款和不符合事实都是基于题目描述和ISO/IEC20000-1:2011标准的相关要求来得出的。44.ABC公司在内部审核时，针对不同部门，组成审核组，在对技术服务部进行审核时，由市场部经理任审核组长，技术服务部副经理任组员，因为他们对技术服务部工作过程业务和人员等情况最为了解。参考答案不符合条款：ISO/IEC20000-1:2011标准4.5.4.2条款“审核员的选择和审核的实施应确保审核过程的客观性和公正性。审核员不应该审核自己的工作。”不符合事实：查公司内部审核时发现，技术服务部副经理审核了技术服务部。解析：本题考查IS