CCAA - 2022年07月信息技术服务管理体系基础答案及解析 - 详解版（65题）

本资料由小桨备考整理，仅供学习参考，非官方发布2022年07月信息技术服务管理体系基础答案及解析单选题（共40题，共80分）1.服务连续性管理中，恢复时间目标指（）。A.IT服务复原到正常工作状态的时间B.IT服务复原到约定的最低可用性水平的时间C.关键服务恢复到约定的最低可用性水平的时间D.基础设施服务恢复到约定的可用性水平的时间答案：C解析：在服务连续性管理中，恢复时间目标（RTO）是指关键服务恢复到约定的最低可用性水平的时间。这意味着当服务发生故障时，需要在指定的时间内恢复到一定的可用性水平，以保证服务的连续性和稳定性。因此，选项C“关键服务恢复到约定的最低可用性水平的时间”是正确的。选项A“IT服务复原到正常工作状态的时间”虽然也涉及到服务恢复，但不够具体；选项B“IT服务复原到约定的最低可用性水平的时间”和选项D“基础设施服务恢复到约定的可用性水平的时间”都没有明确指出是“关键服务”，因此不够准确。2.（）是定义一个组织架构时最有用的模型。A.服务模型B.RACI模型C.持续服务改进模型D.戴明环答案：B解析：在定义组织架构时，RACI模型是最有用的模型。RACI模型是一种责任分配模型，其中R代表责任人（Responsible），A代表审批人（Accountable），C代表咨询人（Consulted），I代表知情人（Informed）。这种模型有助于明确各个角色在组织架构中的职责和权限，确保工作的高效和顺利进行。因此，RACI模型是定义组织架构时最有用的模型。3.依据ISO/IEC20000-1:2018，关于配置管理以下说法正确的是（）。A.须建立CMDBB.即软件版本管理，常见于SVNC.与资产管理的范围相同D.服务也是配置项答案：D解析：根据ISO/IEC20000-1:2018，配置管理（ConfigurationManagement，简称CM）是服务台管理的一个关键部分，它确保所有配置项（包括服务）的完整性和准确性。配置项（ConfigurationItem，简称CI）是服务管理中的一个重要概念，它可以是任何可识别的服务组件，如服务、物理或逻辑的设备、文档或软件等。因此，服务本身也是配置项的一部分。选项A提到的CMDB（配置管理数据库）是配置管理中的一个重要工具，用于存储和检索配置项的信息，但它并不是配置管理的全部。选项B提到的软件版本管理（如SVN）是配置管理的一个方面，但配置管理还包括其他内容，如基线管理、变更管理等。选项C提到配置管理与资产管理的范围相同，这是不准确的。虽然两者都涉及到对资源的管理，但它们的关注点和管理方式是不同的。因此，正确答案是D，即服务也是配置项。4.“问题管理”相关记录应包括（）。A.技术管理团队确定了针对一系列重复发生事件的已知错误B.事件管理发现了一个临时方案但需要协助实施C.一个冗余网段中断但未影响到任何用户D.一个升级到二线的事件答案：A解析：根据题干中“问题管理”相关记录的要求，我们需要寻找一个能够反映问题管理的情境。问题管理通常关注于已经识别并需要长期解决方案的问题，而不仅仅是一次性的临时解决方案。选项A描述了技术管理团队针对一系列重复发生的事件确定了已知错误，这符合问题管理的定义，因为它涉及到识别问题并寻求长期解决方案。选项B描述了一个临时方案，这更像是事件管理或应急响应，而不是问题管理。选项C描述了一个冗余网段中断，但并未影响到任何用户，这更像是一个事件报告，而不是问题管理。选项D描述了一个升级到二线的事件，这同样更像是一个事件报告，而不是问题管理。因此，根据题干的要求，选项A是最符合“问题管理”相关记录的情境。5.ISO/IEC20000-1标准的范围声明是很重要的，因为（）。A.它定义了管理体系根据什么予以认证B.它详细描述了所有已被认证的公司C.它详细描述了所有已被认证的服务D.它确定了哪些流程已超出了范围答案：D解析：ISO/IEC20000-1标准的范围声明是很重要的，因为它确定了哪些流程已超出了范围。ISO/IEC20000-1标准是一个关于IT服务管理的标准，其范围声明用于明确标准适用的范围和边界，也就是哪些流程或活动在标准的管辖之内，哪些流程或活动不在其管辖之内。因此，正确选项为D，即“它确定了哪些流程已超出了范围”。其他选项如A、B、C都没有正确反映ISO/IEC20000-1标准的范围声明的重要性。6.ISO/IEC20000-1:2018标准中的供方是指（）。A.服务提供方组织的一部分，与服务提供方签订书面协议共同参与某项或多项服务的设计、转换、交付和改进B.服务提供方之外的组织或服务提供方组织的一部分，与服务提供方签订合约共同参与某项或多项服务的设计、转换、交付和改进C.在最高层指得和管控服务提供方的人员或团队D.负责管理服务和向客户交付服务的组织或组织的某个部分答案：B解析：ISO/IEC20000-1:2018标准中的供方指的是服务提供方之外的组织或服务提供方组织的一部分，与服务提供方签订合约共同参与某项或多项服务的设计、转换、交付和改进。因此，选项B“服务提供方之外的组织或服务提供方组织的一部分，与服务提供方签订合约共同参与某项或多项服务的设计、转换、交付和改进”是正确的答案。选项A“服务提供方组织的一部分，与服务提供方签订书面协议共同参与某项或多项服务的设计、转换、交付和改进”描述的是服务提供方内部的情况，与题目要求不符；选项C“在最高层指得和管控服务提供方的人员或团队”描述的是服务提供方内部的管理层，与题目要求也不符；选项D“负责管理服务和向客户交付服务的组织或组织的某个部分”描述的是服务提供方本身，与题目要求也不符。因此，正确答案是B。7.ISO/IEC20000中的“服务提供方”是指（），A.任何组织有关持续改进建议的咨询机构B.执行认证审核的机构C.主供方的分包方D.管理并向顾客交付服务的组织答案：D解析：在ISO/IEC20000中，“服务提供方”指的是管理并向顾客交付服务的组织。这个定义明确了服务提供方的角色和职责，即负责管理和交付服务给顾客的组织。因此，选项D“管理并向顾客交付服务的组织”是正确的答案。其他选项如A、B、C都与ISO/IEC20000中的“服务提供方”定义不符。8.IT基础架构是指开发、测试、交付、控制或支持应用和IT服务所需的所有（）等。A.软硬件、网络、数据库B.软硬件、布线、设施C.软硬件、网络、设施D.操作系统、网络、设施答案：C解析：IT基础架构是指开发、测试、交付、控制或支持应用和IT服务所需的所有软硬件、网络、设施等。因此，正确选项为C，包括软硬件、网络、设施。其他选项A、B、D都不完全或错误地描述了IT基础架构的组成部分。9.以下不属于最高管理层职责的是（）。A.批准风险可接受准则B.主持内审工作C.批准服务管理方针D.批准服务管理组织答案：B解析：根据题干，我们需要找出不属于最高管理层职责的选项。A选项“批准风险可接受准则”是最高管理层职责之一，因为最高管理层需要确保组织的风险管理策略得到适当的批准和执行。C选项“批准服务管理方针”也是最高管理层职责之一，因为他们需要确保组织的服务管理方针符合公司的整体战略和目标，并得到适当的批准。D选项“批准服务管理组织”同样是最高管理层职责，因为他们需要确保服务管理组织的结构和运作符合公司的要求，并得到适当的批准。而B选项“主持内审工作”通常不是最高管理层的职责。内审工作通常由专门的审计部门或内审团队负责，他们负责独立地评估组织的内部控制、风险管理等方面，并向最高管理层报告。因此，主持内审工作不是最高管理层的直接职责。综上所述，B选项“主持内审工作”不属于最高管理层的职责，所以答案是B。10.关于风险管理，以下正确的是（）。A.风险接受意味着残余风险已被消除B.风险评估包括风险识别、风险分析、风险评价C.风险管理包括风险分析、风险评价D.风险处置包括风险识别、风险削减答案：B解析：风险管理是一个系统的过程，包括风险识别、风险分析、风险评价和风险处置四个步骤。其中，风险识别是确定哪些风险事件可能影响项目，并将这些风险特性形成文档；风险分析是对已识别的风险进行量化估计，包括估计风险发生的概率、风险范围、风险严重性、风险变化趋势和不确定性；风险评价是根据各风险分析结果，评估风险等级，确定风险是否可容许；风险处置是执行风险应对计划，包括规避风险、降低风险、转移风险或接受风险。A选项错误，风险接受并不意味着残余风险已被消除，而是指风险已经被识别、分析、评价后，认为风险在可容许的范围内，因此决定不采取任何措施去改变这些风险的可能性或严重性。C选项错误，风险管理包括风险识别、风险分析、风险评价和风险处置四个步骤，而不仅仅是风险分析、风险评价。D选项错误，风险处置包括规避风险、降低风险、转移风险或接受风险，而不仅仅是风险识别、风险削减。因此，正确答案是B，即风险评估包括风险识别、风险分析、风险评价。11.服务的生命同期过程不包括（）。A.转换和交付B.外包与分担C.持续放进D.策划和设计答案：B解析：服务的生命周期过程通常包括策划和设计、转换和交付以及持续改进。策划和设计阶段涉及确定服务的需求、目标、范围以及制定服务蓝图等；转换和交付阶段则是将服务蓝图转化为实际的服务交付，确保服务的质量和效率；持续改进阶段则是通过反馈、评估和改进，不断提升服务的质量和满足客户需求的能力。而外包与分担并不属于服务的生命周期过程，它更多地是服务提供方式的一种选择，即将部分或全部服务交由外部合作伙伴完成。因此，选项B“外包与分担”是正确答案。12.（）过程负责定期回顾采购合同。A.供方管理和服务级别管理B.供方管理和需求管理C.需求管理和服务级别管理D.供方管理、需求管理和服务级别管理答案：A解析：采购合同是供需双方达成的协议，它规定了双方的权利和义务。因此，供方管理过程是负责定期回顾采购合同的关键过程，以确保合同的有效执行和双方的权益得到保障。选项A中的“供方管理”与采购合同直接相关，因此是正确答案。选项B、C和D中的“需求管理”和“服务级别管理”虽然也是重要的管理过程，但与定期回顾采购合同不直接相关，因此不是正确答案。13.规划新的或变更的服务时，对于下线的服务，规划还应该包括下线的日期和存档活动，数据、文档化信息和服务组件的（）。A.删除和转移B.保存和转移C.处置和转移D.汇总和转移答案：C解析：在规划新的或变更的服务时，对于下线的服务，规划应该包括下线的日期和存档活动。存档活动通常涉及数据的保存、文档的归档以及服务组件的处置。选项A“删除和转移”可能意味着数据或组件被删除并转移到其他地方，但题目中并未明确提到删除，因此A选项不完全准确。选项B“保存和转移”可能意味着数据或组件被保存并转移到其他地方，但题目中并未明确提到转移，因此B选项也不完全准确。选项D“汇总和转移”与题目中的存档活动没有直接关联。因此，最符合题目描述的是选项C“处置和转移”，其中“处置”可能指的是对下线服务的数据、文档化信息和服务组件进行合适的处理，而“转移”可能指的是将这些元素转移到适当的存档位置或系统。14.电子邮件是传播恶意代码的重要途径，为了防止电子邮件中的惑意代码的攻击，用（）方式读电子邮件。A.程序B.网页C.纯文本D.会话答案：C解析：恶意代码通常隐藏在电子邮件的附件或正文中，通过执行恶意代码，攻击者可以获取用户的敏感信息或控制用户的计算机。为了防止电子邮件中的恶意代码攻击，最好使用纯文本方式读取电子邮件，因为纯文本方式不会执行任何嵌入在邮件中的代码，从而降低了被攻击的风险。因此，正确答案是C，即纯文本方式。15.关于ISO/IEC20000-3，以下说法正确的是（）。A.该标准是管理供方关系时对ISO/IEC20000-1的补充B.该标准是对供应商进行认证的依据，这与ISO/IEC20000-1不同C.该标准可用作确定组织ISMS范围时参考D.该标准适用于没有服务外包，情况下的SMS策划答案：A解析：ISO/IEC20000-3是关于供方关系管理的标准，是对ISO/IEC20000-1的补充。ISO/IEC20000-3是ISO/IEC20000-1范围定义和适用性指南，为服务提供方在基于ISO/IEC20000-1实施SMS时提供了有关定义范围的指导。B选项错误，它是指南类，非要求类标准；C选项错误，应为ITSMS，而非ISMS，ISMS应用ISO/IEC27000族标准；D选项错误，包含外包情况。A选项正确，参考ISO/IEC20000-1:2018标准8.3.1总则注1:ISO/IEC20000-3包括供应链关系的示例及其潜在适用性和范围。因此，根据以上分析，选项A是正确的。16.管理体系是实现组织目标的一系列相关关联和相互作用的方针（）和过程。A.规程B.目标C.文件D.记录答案：B解析：管理体系的定义是实现组织目标的一系列相关关联和相互作用的方针、目标和过程。其中，“方针”指的是组织为实现其目标而制定的原则和方向，而“目标”是组织期望达到的具体成果或状态。因此，管理体系中的“方针”和“目标”是紧密相关的，它们共同指导着管理体系的运行和实现组织目标的过程。所以，正确答案为“目标”。17.所谓文档化信息是指需要组织（）的信息以及包含这些信息的载体。A.控制并保持B.控制并保留C.管理并保持D.管理并保留答案：A解析：在题目中，我们需要确定哪个选项最符合“文档化信息”的定义，即需要组织的信息以及包含这些信息的载体。在给出的选项中，“控制并保持”与“管理并保持”都涉及到对信息的组织和保持，但“管理”一词通常比“控制”更全面地涵盖了信息的组织、维护和使用等方面。因此，选项A“控制并保持”虽然与“文档化信息”的定义有一定关联，但不如选项C“管理并保持”准确。因此，正确答案是选项C“管理并保持”。而选项B“控制并保留”和选项D“管理并保留”中的“保留”一词与“文档化信息”的定义不完全匹配，因为“文档化信息”不仅仅是关于保留信息，还涉及到信息的组织和管理。因此，选项A“控制并保持”是最不符合题目要求的答案。18.当一个多场所组织在不同的场所或一组场所运作一些不相关过程和活动时，认证机构需要证明其决定在管理体系认证中实施（）的理由的合理性，并予以记录。A.验证B.检查C.审核D.抽样答案：C解析：根据题目中的描述，当一个多场所组织在不同的场所或一组场所运作一些不相关过程和活动时，认证机构需要证明其决定在管理体系认证中实施某种措施的理由的合理性，并予以记录。这里的“措施”应该是审核，因为审核是一种评估、检查管理体系是否符合要求的活动，可以验证管理体系的有效性，从而确保组织在不同的场所或一组场所运作时，其管理体系能够满足相关要求。因此，正确答案为C，即审核。19.以下选项不属于信息安全领域的测量和监视技术（）。A.单位时间的访问流量分析B.呼叫中心话术系统监听C.网络行为管理D.入侵检测系统答案：B解析：信息安全领域的测量和监视技术通常用于监控网络流量、用户行为、系统活动等，以确保信息的安全性。A选项“单位时间的访问流量分析”是网络安全中常见的测量技术，用于分析网络流量模式，识别异常行为。C选项“网络行为管理”是监视技术，用于监控和管理网络中的用户行为，确保合规性。D选项“入侵检测系统”也是监视技术，用于检测并响应潜在的网络攻击。而B选项“呼叫中心话术系统监听”通常与电话营销或客户服务相关，不属于信息安全领域的测量和监视技术。因此，正确答案是B。20.以下不属于网络安全控制技术的是（）。A.防火墙技术B.询问控制C.差错控制D.入侵检测技术答案：C解析：题目询问不属于网络安全控制技术的是哪一项。防火墙技术和入侵检测技术都是网络安全控制技术，用于保护网络免受攻击和非法访问。询问控制通常不是网络安全控制技术的直接部分，它更多地与身份验证和授权有关，用于确定用户是否有权访问特定资源。差错控制通常用于数据通信，确保数据的完整性和准确性，但它不是专门的网络安全控制技术。因此，不属于网络安全控制技术的是差错控制，所以正确答案是C。21.《信息系统安全等级保护实施指南》将（）作为实施等级保护的第一项内容。A.安全定级B.安全规划C.安全评估D.安全实施答案：A解析：《信息系统安全等级保护实施指南》中明确指出，实施等级保护的第一项内容是安全定级。因此，正确答案为A选项，即“安全定级”。22.ISO/IEC20000-1的最新版是（）版。A.2018B.2020C.2011D.2005答案：A解析：题目询问ISO/IEC20000-1的最新版是哪一年发布的。根据题目选项，我们可以看到A选项是2018年，B选项是2020年，C选项是2011年，D选项是2005年。为了确定正确答案，我们需要知道ISO/IEC20000-1的最新版本发布时间。通常情况下，标准会定期更新，但具体的更新时间需要参考ISO或IEC的官方发布信息。然而，由于题目没有给出具体的更新信息，我们需要根据题目选项进行推理。在给出的选项中，2020年是一个相对较晚的时间点，但题目中的正确答案是2018年，这可能是因为2018年的版本是题目编写时的最新版本。因此，我们可以推断出2018年可能是ISO/IEC20000-1的最新版本发布时间，所以正确答案是A选项。请注意，这只是一个基于题目选项的推理，具体的更新时间应以ISO或IEC的官方发布信息为准。23.依据GB/T29264，以下属于网络集成实施服务的是（）。A.将分离的软件集成到相互关联的、统一的平台中B.主机、存储、网络设备及附带软件的安装、调试C.路由器、交换机、网关集线器、终端等的集成D.磁盘阵列、存储用光纤交换机、网络存储设备等的集成答案：C解析：依据GB/T29264，网络集成实施服务主要包括路由器、交换机、网关集线器、终端等的集成，选项C符合该标准。而选项A“将分离的软件集成到相互关联的、统一的平台中”是软件集成服务的内容；选项B“主机、存储、网络设备及附带软件的安装、调试”属于设备集成服务；选项D“磁盘阵列、存储用光纤交换机、网络存储设备等的集成”则是存储集成服务。因此，正确答案为C。24.根据《计算机信息系统国际联网管理规定》的要求，保密审查实施部门管理，有关单位应当根据国家保密法规，建立健全上网信息保密审核（）。A.职能部门监管责任制B.领导责任制C.民主集中制D.专人负责制答案：B解析：根据《计算机信息系统国际联网管理规定》的要求，保密审查实施部门管理，有关单位应当根据国家保密法规，建立健全上网信息保密审核领导责任制。因此，正确答案为B，即领导责任制。其他选项如职能部门监管责任制、民主集中制、专人负责制均不符合规定要求。25.下面哪项不是内部环境的因素？（）A.组织文化B.组织监管方C.组织员工D.组织资源答案：B解析：本题考察的是内部环境的因素。组织文化、组织员工和组织资源都是构成组织内部环境的重要因素，它们分别影响组织的价值观、行为方式和资源利用。而组织监管方，通常是外部环境中的因素，用于对组织进行监管和约束，不是内部环境的组成部分。因此，选项B“组织监管方”不是内部环境的因素。26.关于可用性管理，下列说法正确的是（）。A.可用性管理应该有助于新软件产品的设计和开发B.可用性管理与硬件配置项的性能有关C.可用性管理涉及维持的定的数据安全级别D.可用性管理通过与客户协商可用目标来确保满足他们的需求答案：D解析：可用性管理通常关注如何确保系统或服务在需要时可用，以满足用户的需求和期望。因此，它应该与客户协商可用目标，以确保满足他们的需求。A选项提到可用性管理应该有助于新软件产品的设计和开发，这更多地是关注开发过程中的可用性问题，而不是可用性管理的核心职责。B选项提到可用性管理与硬件配置项的性能有关，虽然硬件性能可能影响可用性，但这并不是可用性管理的全部内容。C选项提到可用性管理涉及维持定的数据安全级别，虽然数据安全是重要的，但它更多地是信息安全管理的一部分，而不是可用性管理的主要关注点。因此，D选项“可用性管理通过与客户协商可用目标来确保满足他们的需求”是正确的说法。27.作为一个或多个变更的结果，部署到实际生产环境的一个或多个新的或变更的服务或服务组件的集合是（）。A.SLAB.发布C.软件包D.CMDB答案：B解析：在这个问题中，我们首先要明确"部署到实际生产环境的一个或多个新的或变更的服务或服务组件的集合"的含义。这个描述与"发布"的概念最为接近。发布通常指的是将软件或服务的更新或新版本部署到生产环境，以供用户使用。因此，正确答案是B，即"发布"。其他选项如A（SLA，服务级别协议）、C（软件包）和D（CMDB，配置管理数据库）与这个描述不符。28.对于防范网络监听，以下最有效的是（）。A.进行漏洞扫描B.采用无线网络传输C.对传输的数据信息进行加密D.安装防火墙答案：C解析：网络监听是一种被动式攻击，通过监听网络上的数据包来获取敏感信息。为了防范网络监听，最有效的方式是对传输的数据信息进行加密。加密后的数据即使被监听也无法轻易解密，从而保护了数据的安全性。因此，选项C“对传输的数据信息进行加密”是最有效的防范网络监听的方法。选项A“进行漏洞扫描”主要是用于发现系统或应用中的安全漏洞，与网络监听防范没有直接关系。选项B“采用无线网络传输”虽然方便，但无线网络传输的数据容易被监听，因此不是最有效的防范网络监听的方法。选项D“安装防火墙”虽然可以过滤掉一些恶意流量，但防火墙并不能防止网络监听，因为监听者可以在防火墙外部进行监听。综上所述，对传输的数据信息进行加密是最有效的防范网络监听的方法，因此正确答案是C。29.所提供的服务都应定义、协商并记录在（）服务级协议（SLAs）中。A.若干B.多个C.不同D.一个或多个答案：D解析：根据题目中的描述，“所提供的服务都应定义、协商并记录在（）服务级协议（SLAs）中”，我们可以推测这是一个关于服务级协议（SLA）的问题。在一般情况下，一个服务可能会涉及到多个服务级协议，因此“一个或多个”是最符合实际情况的答案。所以，正确选项是D，“一个或多个”。30.网络系统中针对海量数据的加密，通常不采用（）。A.会话加密B.公钥加密C.链路加密D.端对端加蜜答案：B解析：在网络系统中，针对海量数据的加密，通常不采用公钥加密。这是因为公钥加密的计算量相对较大，对于海量数据来说，使用公钥加密可能会导致性能问题。相比之下，会话加密、链路加密和端对端加密更适合处理海量数据。会话加密是在每次会话开始时生成一个唯一的密钥，用于加密和解密该会话中的数据。链路加密是对传输链路上的数据进行加密，确保数据在传输过程中的安全性。端对端加密是在发送方和接收方之间建立加密通道，对传输的数据进行加密和解密。这些加密方式在处理海量数据时具有更好的性能和效率。因此，选项B“公钥加密”是不适合用于网络系统中针对海量数据的加密方式。31.《信息技术服务分类与代码》规定（）属于软件运营服务。A.在线杀毒B.物流信息管理服务平台C.电子商务D.在线娱乐平台答案：A解析：《信息技术服务分类与代码》中规定的软件运营服务包括在线杀毒、在线升级、内容分发等服务。因此，选项A“在线杀毒”属于软件运营服务，而其他选项如物流信息管理服务平台、电子商务、在线娱乐平台等并不直接属于软件运营服务的范畴。因此，正确答案为A。32.根据《互联网信息服务管理办法》规定，互联网信息服务提供者应当在其（）的显著位置标明其经营许可证编号或者备案编号。A.宣传页面B.文件资料C.网站主页D.所有页面答案：C解析：根据《互联网信息服务管理办法》规定，互联网信息服务提供者应当在其网站主页的显著位置标明其经营许可证编号或者备案编号。因此，正确答案为C，即“网站主页”。其他选项如宣传页面、文件资料、所有页面均不符合规定。33.《互联风网信息服务管理办法》要求（）。A.国家对经营性互联网信息服务实行许可制度：对非经营性互联网信服务实施备案制度B.国家对经营性和非经营性互联网信息服务均实施许可制度C.从事新闻、出版、教育、医疗保健、药品和医疗器械等互联网值息服务实行许可制度D.从事经营性互联网信息服务，申请人取得经营许可证后，即可运营答案：A解析：《互联风网信息服务管理办法》要求国家对经营性互联网信息服务实行许可制度，对非经营性互联网信息服务实施备案制度。因此，选项A是正确的。选项B错误，因为国家对经营性和非经营性互联网信息服务并不都实行许可制度。选项C错误，因为从事新闻、出版、教育、医疗保健、药品和医疗器械等互联网信息服务并不都实行许可制度。选项D错误，因为从事经营性互联网信息服务，申请人取得经营许可证后，还需要符合其他相关条件才能运营。34.《中华人民共和国计算机信息系统安全条例》规定运输、携带、邮寄计算机信息媒体进出境的，应当如实向（）申报。A.公安局B.安全局C.工商局D.海关答案：D解析：《中华人民共和国计算机信息系统安全条例》规定，运输、携带、邮寄计算机信息媒体进出境的，应当如实向海关申报。因此，正确答案为D，即海关。其他选项如公安局、安全局、工商局均不符合该条例的规定。35.依据GB/Z20986，以下说法不正确的是（）。A.网络扫描监听是网络攻击事件B.蠕虫事件是有害程序事件C.僵尸网终是网络攻击事件D.信息篡改是信息破坏事性答案：C解析：依据GB/Z20986，网络攻击事件是指通过网络或其他技术手段，对信息系统、网络或其中的信息资产进行非授权访问、破坏、干扰或滥用，从而损害目标系统的机密性、完整性或可用性。僵尸网络是一种网络攻击手段，通过网络传播僵尸程序，控制大量计算机，形成一个僵尸网络，用于进行恶意活动。因此，僵尸网络是网络攻击事件的一种，而不是僵尸网终。所以选项C的说法不正确。选项A，网络扫描监听是指通过监听网络数据包来获取敏感信息，是网络攻击事件的一种，所以A正确。选项B，蠕虫事件是指利用漏洞或安全弱点，通过网络自动传播有害程序的事件，是有害程序事件的一种，所以B正确。选项D，信息篡改是指对信息进行非法修改，破坏其完整性和真实性，是信息破坏事件的一种，所以D正确。36.《信息技术服务分类与代码》中的分类分为（）几大类。A.2B.3C.4D.5答案：B解析：《信息技术服务分类与代码》中的分类分为3大类，因此选项B是正确的。题目中给出的其他选项A、C、D都是错误的。37.《信息安全等级保护管理办法》规定，（）级保护时，国家信息安全监管部门对该项级信息系统信息安全等级保护工作进行强制监督、检查。A.5B.2C.4D.3答案：C解析：《信息安全等级保护管理办法》规定，4级保护时，国家信息安全监管部门对该项级信息系统信息安全等级保护工作进行强制监督、检查。因此，正确选项为C。其他选项A、B、D均不符合规定。38.ISO/IEC20000的前身是（）。A.ITILB.ITSMC.ISMSD.SMS答案：A解析：ISO/IEC20000是IT服务管理（ITServiceManagement，简称ITSM）的国际标准，它提供了IT服务管理的框架和最佳实践。而ITIL（InformationTechnologyInfrastructureLibrary）是IT服务管理领域的一个知名框架，它提供了IT服务管理的过程、方法和最佳实践。ISO/IEC20000的前身正是ITIL，因此选项A“ITIL”是正确的答案。选项B“ITSM”是IT服务管理的缩写，但它不是ISO/IEC20000的前身。选项C“ISMS”和选项D“SMS”与题目中的信息不符，因此可以排除。39.目前信息技术最务管理体系的认证周期为（）。A.2年B.3年C.4年D.根据实际情况确定答案：B解析：根据一般的信息技术管理体系认证规定，认证周期通常为3年。因此，正确答案是B选项，即3年。其他选项如2年、4年和根据实际情况确定，并不符合一般的信息技术管理体系认证规定。因此，答案为B。40.容错是指某组件发生失效后，IT服务或配置项（）。A.继续正确运行的能力B.继续部分正确运行的能力C.失去继续正确运行的能力D.继续正碑运行的旋程答案：A解析：容错是指某组件发生失效后，IT服务或配置项继续正确运行的能力。因此，选项A“继续正确运行的能力”是正确的答案。选项B“继续部分正确运行的能力”和选项C“失去继续正确运行的能力”都不符合容错的定义。选项D“继续正碑运行的旋程”显然是一个错误的选项，因为它与题目的内容无关。多选题（共15题，共30分）41.以下哪些项不属于服务级别管理的目标（）。A.为支持当前IT服务所执行服务运行活动B.为确保所有当前提供的IT服务遵从协商一致的IT服务级别C.为确保有足够的容量交付协商一致的服务绩效水平D.为创建和编制服务目录答案：CD解析：服务级别管理（ServiceLevelManagement，SLM）是IT服务管理中的一个关键流程，它确保IT服务满足协商的服务级别协议（SLA）的要求。服务级别协议定义了服务提供者需要提供的服务级别，包括服务可用性、性能、可靠性等。选项A：“为支持当前IT服务所执行服务运行活动”是服务级别管理的一个目标，因为它确保服务提供者能够按照SLA的要求执行服务运行活动。选项B：“为确保所有当前提供的IT服务遵从协商一致的IT服务级别”也是服务级别管理的一个目标，因为它确保服务提供者提供的服务符合SLA的要求。选项C：“为确保有足够的容量交付协商一致的服务绩效水平”虽然与服务级别管理有关，但它更多地涉及到容量管理，而不是服务级别管理。服务级别管理关注于确保服务满足SLA，而容量管理关注于确保有足够的资源来支持这些服务。选项D：“为创建和编制服务目录”虽然与服务管理有关，但它更多地涉及到服务目录管理，而不是服务级别管理。服务目录管理关注于创建和更新服务目录，而服务级别管理关注于确保服务满足SLA。因此，选项C和D不属于服务级别管理的目标。42.可用于测量过程质量特性的参数包括（）。A.过程可持续性B.过程的完整性C.过程容量D.过程效率答案：ABCD解析：过程质量特性是指过程本身所具备的特性，这些特性可以用来衡量过程的质量。过程可持续性、完整性、容量和效率都是可以用来测量过程质量特性的参数。因此，选项A、B、C和D都是正确的。43.下面哪些是传输层协议（）。A.TCPB.TLSC.UDPD.IPSec答案：AC解析：在计算机网络中，传输层负责在源主机和目的主机之间建立、管理和终止会话。TCP（传输控制协议）和UDP（用户数据报协议）是两种主要的传输层协议。TLS（传输层安全协议）和IPSec（网络层安全协议）不是传输层协议，而是为传输层提供安全服务的协议，它们位于传输层之上。因此，选项A和C（TCP和UDP）是传输层协议。44.事件的最终关闭，应（）。A.仅当最初的用户被给予机会确认事件已解决时B.服务已恢复时C.由事件经理进行关闭D.重大事件的关闭，由负责的管理者进行答案：ABD解析：事件最终关闭涉及多个考虑因素，需要综合评估。首先，根据A选项，事件的最终关闭应该确保最初报告事件的用户有机会确认事件已得到解决。这是为了确保用户的满意度和事件的妥善解决。其次，B选项提到服务已恢复时，这也是事件关闭的一个重要条件。只有当服务恢复正常，用户的问题得到解决，事件才可以被视为关闭。最后，D选项指出重大事件的关闭应由负责的管理者进行。这强调了对于重大事件的管理和决策需要高级管理者的参与和决策。至于C选项“由事件经理进行关闭”，虽然事件经理在事件处理过程中扮演着重要角色，但事件的最终关闭可能涉及到更广泛的考虑和决策，不仅仅是事件经理的职责。因此，C选项不能单独作为事件最终关闭的条件。综上所述，事件的最终关闭应该考虑A、B和D选项中的条件，即仅当最初的用户被给予机会确认事件已解决时、服务已恢复时以及重大事件的关闭由负责的管理者进行。因此，正确答案为A、B、D。但根据题目给出的多选题答案，正确选项应为A、B、D，可能是题目或答案存在误差。45.依据ISO20000-6:2017以下可构成减少ITSMS初审人日的因素包括（）。A.已获得的认证在最近12个月内对其至少实施了一次审核B.拟认证的范围已获得ISO/IEC27001证书C.已获得其他认证的范围大于拟认证的范围D.拟认证的范围与获得ISMS证书范围等同答案：ABCD解析：根据ISO20000-6:2017标准，减少ITSMS初审人日的因素包括：A.已获得的认证在最近12个月内对其至少实施了一次审核：这意味着组织已经通过了一个审核，并且该审核在最近12个月内完成，这可以作为减少初审人日的依据。B.拟认证的范围已获得ISO/IEC27001证书：如果组织已经获得了ISO/IEC27001证书，并且该证书覆盖的范围与拟认证的范围相同或更大，那么可以减少初审人日。C.已获得其他认证的范围大于拟认证的范围：如果组织已经获得了其他认证，并且这些认证的范围大于拟认证的范围，那么可以减少初审人日。D.拟认证的范围与获得ISMS证书范围等同：如果组织已经获得了与拟认证范围相同的ISMS证书，那么可以减少初审人日。因此，选项A、B、C和D都是减少ITSMS初审人日的因素。46.配置管理向组织的IT部门提供了（）信息。A.IT基础架构的详细信息B.配置的历史记录C.每种事件和问题的数量D.来自已经过协议的服务级别的变化答案：AB解析：配置管理在IT部门中扮演着关键角色，它负责跟踪、控制和记录组织的IT资源及其配置。因此，配置管理向组织的IT部门提供了关于IT基础架构的详细信息，包括各种组件、软件、硬件等的配置。同时，配置管理也记录了配置的历史记录，这有助于追踪和了解系统或组件的变更历史。选项C“每种事件和问题的数量”虽然与IT运维相关，但并非配置管理直接提供的信息。配置管理关注的是配置项的变更和状态，而不是事件和问题的数量。选项D“来自已经过协议的服务级别的变化”与配置管理无直接关系。服务级别的变化可能涉及服务协议和SLA（ServiceLevelAgreement）的变更，但这不是配置管理的主要职责。选项E“”看起来像是格式错误或无关的选项，因此不应被选择。47.根据GB/Z20986，信息破坏事件包括（）。A.违规使用B.丢失C.假冒D.篡改答案：BCD解析：根据GB/Z20986，信息破坏事件主要包括丢失、假冒和篡改。这些事件可能导致信息的完整性、可用性或真实性受到损害。因此，选项B、C和D都是正确的。而选项A“违规使用”并不属于信息破坏事件，因此是错误的。48.根据GB/Z20986，信息安全事件分为有害程序事件、网络攻击事件、（）和其他信息安全事件等。A.计算机病毒事件B.信息破坏事件C.设备设施故障D.信息泄漏事件答案：BC解析：根据GB/Z20986，信息安全事件分为有害程序事件、网络攻击事件、设备设施故障和其他信息安全事件等。其中，有害程序事件和网络攻击事件是明确列出的，而设备设施故障是第三个选项，因此是正确答案。而选项A“计算机病毒事件”和选项B“信息破坏事件”虽然与信息安全事件有关，但不是GB/Z20986明确列出的分类。选项D“信息泄漏事件”虽然在信息安全中很重要，但题目中并未将其作为一个明确的分类选项列出。因此，正确答案应为C.设备设施故障。49.以下属于信息安全事态或事件的是：（）A.服务、设备或设施的丢失B.系统故障或超负载C.物理安全要求的违规D.安全策略变更的临时通知答案：ABC解析：信息安全事态或事件通常指的是可能对信息系统安全产生负面影响的情况。A选项“服务、设备或设施的丢失”可能导致信息泄露或系统不可用，因此属于信息安全事态或事件。B选项“系统故障或超负载”可能导致系统性能下降或数据丢失，同样属于信息安全事态或事件。C选项“物理安全要求的违规”可能使物理设备或设施受到损害或盗窃，从而威胁信息安全。D选项“安全策略变更的临时通知”通常是为了维护信息安全而进行的正常操作，不属于信息安全事态或事件。因此，正确答案为A、B、C。50.风险描述的要素包括（）。A.风险源B.原因C.后果D.事件答案：ABCD解析：风险描述通常涉及四个主要要素：风险源、原因、后果和事件。风险源是可能导致风险发生的因素；原因是导致风险源发生的因素；后果是风险源或原因发生后的结果；事件则是风险源、原因和后果的具体表现。因此，选项A、B、C和D都是风险描述的要素。51.关于服务评审，以下说法不正确的是：（）A.服务评审必须是正式的会议，保留会议记录B.每年至少一次，讨论服务范围、SLA或业务要求的任何变更C.每年至少一次，讨论服务管理体系更新的需求D.服务评审可邀请其他相关方参加，如供方答案：ACD解析：A选项提到“服务评审必须是正式的会议，保留会议记录”。这个描述过于绝对，服务评审不一定必须是正式的会议，也可以采用其他形式进行评审，只要确保评审的完整性和准确性。因此，A选项是不正确的。B选项提到“每年至少一次，讨论服务范围、SLA或业务要求的任何变更”。这是服务评审的一个常见做法，用于确保服务范围、SLA或业务要求的变更得到适当的讨论和记录。因此，B选项是正确的。C选项提到“每年至少一次，讨论服务管理体系更新的需求”。这也是服务评审的一个重要方面，用于确保服务管理体系能够适应业务需求和变化。因此，C选项是正确的。D选项提到“服务评审可邀请其他相关方参加，如供方”。服务评审确实可以邀请其他相关方参加，包括供方，以确保评审的全面性和准确性。因此，D选项也是正确的。综上所述，不正确的说法是A选项“服务评审必须是正式的会议，保留会议记录”。52.下列说法正确的是（）。A.ISO/IEC20000-1:2018标准鼓励组织采用整合的过程方法B.组织满足ISO/IEC20000-1:2018标准要求，意味着该组织满足其顾客的所有要求C.组织可以把ISO/IEC20000-1:2018标准作为独立评估的依据D.组织可以通过ISO/IEC20000-1:2018标准来确定组织IT服务管理基准答案：ACD解析：A选项正确，ISO/IEC20000-1:2018标准确实鼓励组织采用整合的过程方法，这是该标准的核心思想之一。B选项错误，满足ISO/IEC20000-1:2018标准的要求，并不意味着该组织满足其顾客的所有要求。ISO/IEC20000-1:2018标准是一个通用的IT服务管理标准，它提供了框架和指南，但并不能保证满足所有顾客的具体需求。C选项正确，组织确实可以把ISO/IEC20000-1:2018标准作为独立评估的依据。该标准提供了评估IT服务管理能力的框架和准则。D选项正确，组织确实可以通过ISO/IEC20000-1:2018标准来确定组织IT服务管理基准。该标准定义了IT服务管理的最佳实践和标准，为组织提供了一个参考基准。53.根据《中华人民共和国网络安全法》，以下属于关键信息基础设施行业的是（）。A.能源B.交通C.公共通信和信息服务D.电子政务答案：ABCD解析：根据《中华人民共和国网络安全法》的规定，关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的计算机信息系统、工业控制系统、基础设施、网络平台等。因此，选项A能源、B交通、C公共通信和信息服务、D电子政务均属于关键信息基础设施行业。54.信息技术服务管理体系的范围应依据（）确定。A.组织的外部和内部事项B.组织所识别的相关的要求C.组织实施的活动之间及其与其他组织实施的活动之间的接口和依赖关系D.ISO/IEC20000-1:2018的标准要求答案：ABC解析：信息技术服务管理体系的范围确定是一个复杂的过程，需要综合考虑多个因素。首先，组织的外部和内部事项，包括组织的运营环境、资源、能力以及与其他组织的交互等，都会对服务管理体系的范围产生影响。其次，组织所识别的相关的要求，包括法律法规、行业标准、客户需求等，也是确定服务管理体系范围的重要依据。最后，组织实施的活动之间及其与其他组织实施的活动之间的接口和依赖关系，也是确定服务管理体系范围时需要考虑的因素。因此，选项A、B、C都是正确的。而选项D提到的ISO/IEC20000-1:2018的标准要求，虽然是一个重要的参考标准，但并不是确定服务管理体系范围的唯一依据，因此不是本题的答案。55.可作为云服务SLA指标的是（）。A.数据持久性B.保密性C.服务可用性D.数据可销毁性答案：ABCD解析：云服务SLA（ServiceLevelAgreement）指标是用于衡量云服务提供商的服务质量和性能的一系列标准。数据持久性、保密性、服务可用性和数据可销毁性都是云服务中重要的指标。数据持久性确保数据在云服务中能够持久保存，不易丢失；保密性确保数据在传输和存储过程中的安全性，防止数据泄露；服务可用性确保云服务在需要时能够正常访问和使用；数据可销毁性确保在需要时能够安全地删除数据，防止数据被非法获取。因此，这四个选项都是可以作为云服务SLA指标的。判断题（共10题，共10分）