CCAA - 2024年03月信息技术服务管理体系基础答案及解析 - 详解版（65题）

本资料由小桨备考整理，仅供学习参考，非官方发布2024年03月信息技术服务管理体系基础答案及解析单选题（共40题，共80分）1.根据ISO/IEC20000-1:2018标准，服务的生命周期过程不包括（）。A.持续改进B.策划和设计C.转换和交付D.外包与分担答案：D解析：根据ISO/IEC20000-1:2018标准，服务的生命周期过程包括持续改进、策划和设计、转换和交付。而选项D“外包与分担”并不属于服务的生命周期过程。因此，正确答案为D。2.ISO/IEC20000与哪个国际标准有联合实施的指南标准（）。A.ISO18001B.ISO9000C.ISO/IEC28001D.ISO/IEC27001答案：D解析：题目询问的是ISO/IEC20000与哪个国际标准有联合实施的指南标准。在给出的选项中，A选项ISO18001、B选项ISO9000、C选项ISO/IEC28001都不是与ISO/IEC20000有联合实施的指南标准。而D选项ISO/IEC27001是与ISO/IEC20000有联合实施的指南标准，因此正确答案是D。3.ISO/IEC20000系列标准中，以下哪项标准的描述不准确？（）A.ISO/IEC20000-10，定义了服务管理涉及的相关术语B.ISO/IEC20000-2，提供了支持SMS运行的产品或工具的指南C.ISO/IEC20000-3，对服务管理体系确定体系范围提供了要求D.ISO/IEC20000-6，和CC01的作用类似，都可以作为认证机构认可的依据答案：C解析：ISO/IEC20000-10，定义了服务管理涉及的相关术语，描述准确。ISO/IEC20000-2，提供了支持SMS运行的产品或工具的指南，描述准确。ISO/IEC20000-3，对服务管理体系确定体系范围提供了要求，描述不准确。ISO/IEC20000-6，和CC01的作用类似，都可以作为认证机构认可的依据，描述准确。因此，C选项描述不准确。4.关于ISO/IEC20000-1标准，以下说法错误的是（）。A.ISO/IEC20000-1标准要求将其结构应用于组织的服务管理体系，且组织应使用标准中使用的术语B.ISO/IEC20000-2提供了服务管理体系的应用指南，包括如何满足ISO/IEC20000-1中规定要求的示例C.ISO/IEC20000-1标准中的要求与常用的持续改进方法学一致，可以使用适当的服务管理工具来支持SMSD.采用高阶结构使组织能够协调或整合多个管理体系标准。所以，基于ISO/IEC20000-1的服务管理体系可以与基于ISO9001的质量管理体系或基于ISO/IEC27001的信息安全管理体系整合答案：A解析：A选项提到“ISO/IEC20000-1标准要求将其结构应用于组织的服务管理体系，且组织应使用标准中使用的术语”，这个说法并不准确。实际上，ISO/IEC20000-1标准提供了一种框架，描述了服务管理体系应该包含的要素和过程，但并没有要求必须采用其结构，也没有规定必须使用其术语。因此，A选项是错误的说法。B选项说“ISO/IEC20000-2提供了服务管理体系的应用指南，包括如何满足ISO/IEC20000-1中规定要求的示例”，这是正确的。ISO/IEC20000-2确实提供了关于如何实施ISO/IEC20000-1标准的应用指南和示例。C选项提到“ISO/IEC20000-1标准中的要求与常用的持续改进方法学一致，可以使用适当的服务管理工具来支持SMS”，这也是正确的。ISO/IEC20000-1标准确实强调持续改进，并提供了使用服务管理工具来支持服务管理体系的建议。D选项说“采用高阶结构使组织能够协调或整合多个管理体系标准。所以，基于ISO/IEC20000-1的服务管理体系可以与基于ISO9001的质量管理体系或基于ISO/IEC27001的信息安全管理体系整合”，这也是正确的。ISO/IEC20000-1标准采用的高阶结构确实支持与其他管理体系标准的整合。综上所述，错误的选项是A。5.云服务商提供IaaS服务，不适于作为服务方配置项的是（）。A.虚拟服务器B.OA应用软件C.物理网络设备D.物理存储设备答案：B解析：本题考查的是云服务商提供IaaS服务时，不适于作为服务方配置项的内容。IaaS（基础设施即服务）是云计算的一种服务模式，它提供计算、网络和存储基础设施，用户可以根据需要购买和使用这些资源。因此，选项A“虚拟服务器”、选项C“物理网络设备”和选项D“物理存储设备”都是IaaS服务中可能的服务方配置项。而选项B“OA应用软件”则不属于基础设施，它更接近于PaaS（平台即服务）或SaaS（软件即服务）的服务内容，因此不适于作为IaaS服务的服务方配置项。因此，正确答案是B。6.管理体系是（）。A.建立方针和目标并实现这些目标的体系B.应用知识和技能获得预期结果的本领的系统C.可引导识别改进的机会或记录良好实践的系统D.对实际位置、组织单元、活动和过程描述的系统答案：A解析：管理体系是一个建立方针和目标并实现这些目标的体系。它涉及到制定目标、确定实现这些目标所需的资源和过程，以及监控和评估这些过程的执行和结果。这样的体系有助于组织有序地运作，确保目标得以实现，并不断改进和优化。因此，选项A“建立方针和目标并实现这些目标的体系”最符合管理体系的定义。选项B“应用知识和技能获得预期结果的本领的系统”虽然涉及到知识和技能的应用，但更偏向于个人能力的范畴，与管理体系的定义不符。选项C“可引导识别改进的机会或记录良好实践的系统”虽然强调了改进和记录，但没有明确提到方针和目标，因此不够全面。选项D“对实际位置、组织单元、活动和过程描述的系统”虽然描述了组织的结构和过程，但没有明确提到方针和目标，因此也不符合管理体系的定义。7.根据ISO/IEC20000-1:2018标准的要求，（）不是每个过程都需要定义的部分。A.活动B.输入C.输出D.资源答案：D解析：根据ISO/IEC20000-1:2018标准的要求，每个过程都需要定义的部分包括活动、输入和输出，但资源不是每个过程都需要定义的部分。因此，正确答案是D，即资源。8.根据ISO/IEC20000-1:2018标准的要求，供方是指（）。A.在最高层指导和管控服务提供方的人员或团队B.负责管理服务和向顾客交付服务的组织或组织的某个部分C.服务提供方组织的一部分，与服务提供方签订书面协议共同参与某项或多项服务的设计、转换、交付和改进D.组织外部的组织或大型组织中SMS范围之外的一部分，签订合同或协议，参与策划、设计转换、交付和改进服务答案：D解析：ISO/IEC20000-1:2018标准中，供方是指组织外部的组织或大型组织中SMS范围之外的一部分，签订合同或协议，参与策划、设计转换、交付和改进服务。因此，选项D是正确的。其他选项如A、B、C都不符合ISO/IEC20000-1:2018标准的要求。9.阐明所取得的结果或提供所完成活动的证据的文件是（）。A.协议B.记录C.演示D.报告答案：B解析：记录是用来阐明所取得的结果或提供所完成活动的证据的文件。协议通常是一种合同或协议，用于规定双方或多方之间的权利和义务；演示则是一种展示或说明的方式，通常用于展示产品或服务；报告则是一种报告或文件，用于报告事件、结果或分析。因此，记录是最符合题目要求的答案。10.（）是作为一个或多个变更的结果，部署到实际运行环境的服务、服务组件以及新服务的一个或多个变更的组合。A.SLAB.发布C.CMDBD.软件包答案：B解析：根据题目描述，“是作为一个或多个变更的结果，部署到实际运行环境的服务、服务组件以及新服务的一个或多个变更的组合”，可以看出这是描述软件或服务的部署过程。选项A的“SLA”是服务级别协议，与部署过程无关；选项C的“CMDB”是配置管理数据库，与部署过程也没有直接关系；选项D的“软件包”是软件的一种打包形式，也不符合描述。而选项B的“发布”正是描述软件或服务部署到实际运行环境的过程，符合题目描述。因此，正确答案是B。11.根据ISO/IEC20000-1:2018标准，以下不属于最高管理层职责的是（）。A.开展风险评估B.批准风险偏好C.批准服务管理方针D.批准风险可接受准则答案：A解析：根据ISO/IEC20000-1:2018标准，最高管理层的职责主要包括批准服务管理方针、批准风险可接受准则以及批准风险偏好。这些职责涉及到服务管理的核心策略、风险管理以及企业整体的风险承受度。而开展风险评估通常是服务管理办公室或风险管理部门的职责，而不是最高管理层的直接职责。因此，不属于最高管理层职责的是开展风险评估，所以答案是A。12.根据ISO/IEC20000-1:2018标准的要求，服务目录应（）。A.是统一所有服务描述的标准B.由顾客控制服务目录泉的访问权限C.是合同的附件，由顾客创建和维护D.描述服务、预期输出以及服务之间的依赖关系答案：D解析：ISO/IEC20000-1:2018标准是关于IT服务管理的国际标准。在服务管理框架中，服务目录是一个关键组成部分，它用于描述、记录和管理组织提供的服务。根据该标准，服务目录应该描述服务、预期输出以及服务之间的依赖关系。选项A“是统一所有服务描述的标准”并没有在标准中明确指出；选项B“由顾客控制服务目录的访问权限”虽然可能是管理的一部分，但并不是服务目录的主要职责；选项C“是合同的附件，由顾客创建和维护”同样没有直接提及。因此，正确答案是D，即服务目录应描述服务、预期输出以及服务之间的依赖关系。13.在发布一个软件升级修复某个已知错误后，哪个流程能确保配置管理数据库被正确更新？（）A.问题管理B.发布管理C.变更管理D.配置管理答案：D解析：在发布软件升级修复已知错误后，为了确保配置管理数据库被正确更新，应该遵循配置管理流程。配置管理涉及对系统、软件或硬件的配置信息进行跟踪、控制和管理，确保这些配置信息的一致性和完整性。因此，选择“配置管理”作为正确答案。而问题管理、发布管理和变更管理虽然与软件发布和更新有关，但它们不是专门负责确保配置管理数据库被正确更新的流程。14.事件管理中以下哪项是管理性升级的活动？（）A.将事件转给具有更高技术水平的人解决B.不能满足SLA中规定的事件解决时间要求C.将一个事件的信息通知更多的高层管理者D.为保持顾客满意使用尽可能多高级专家解决一个事件答案：B解析：管理性升级的活动通常涉及到对事件管理策略、流程或资源的调整，以应对特定情况或满足特定需求。选项A是将事件转给具有更高技术水平的人解决，这更多地是一个技术问题，而不是管理策略的调整。选项C是将一个事件的信息通知更多的高层管理者，虽然涉及到了管理层面，但主要目的是通知，而不是对管理策略的调整。选项D为保持顾客满意使用尽可能多高级专家解决一个事件，同样更多地是一个技术问题，而不是管理策略的调整。选项B不能满足SLA中规定的事件解决时间要求，这通常会导致对事件管理策略、流程或资源的调整，以满足SLA的要求，因此是管理性升级的活动。15.一个配置管理数据库（CMDB）包含不同的配置项，下列哪个项目一般不会被当作配置项？（）A.监视器B.用户名C.工作程序D.买来的软件包答案：B解析：配置管理数据库（CMDB）是用来存储和管理配置项信息的数据库。配置项通常包括硬件、软件、网络、文档等实体或信息。在给出的选项中，A监视器、C工作程序、D买来的软件包都可能是配置项，因为它们代表了某种实体或信息。而B用户名通常只是用于访问系统或服务的标识，它本身并不构成一个配置项。因此，用户名一般不会被当作配置项。16.以下关于SMS范围界定说法错误的是（）。A.SMS范围内宜只描述交付给外部顾客的服务B.当SMS范围内的服务设计交付给不同的顾客时，宜确保服务过程的一致性C.如果SMS的范围是整个组织的所有服务，那么定义SMS的范围可以是：组织提供的SMSD.如果组织只在SMS范围内包含其部分服务，则应定义范围以避免歧义，范围界定宜限定到交付的某个顾客，交付的某个地点答案：A解析：A选项提到“SMS范围内宜只描述交付给外部顾客的服务”，这一说法是不准确的。SMS（安全管理体系）的范围应该涵盖组织内的所有活动和场所，以及与外部利益相关者的互动。因此，A选项错误。B选项表示当SMS范围内的服务设计交付给不同的顾客时，宜确保服务过程的一致性，这是正确的。C选项表示如果SMS的范围是整个组织的所有服务，那么定义SMS的范围可以是组织提供的SMS，这也是正确的。D选项表示如果组织只在SMS范围内包含其部分服务，则应定义范围以避免歧义，范围界定宜限定到交付的某个顾客，交付的某个地点，这也是正确的。因此，正确答案是A。17.信息技术服务管理体系的认证周期为（）。A.2年B.3年C.4年D.根据实际情况确定答案：B解析：信息技术服务管理体系的认证周期通常为3年。这是根据国际标准化组织ISO的规定，ISO20000信息技术服务管理体系的认证证书有效期为3年。在证书有效期内，组织需要按照管理体系的要求运行，并接受认证机构的监督审核，以确保管理体系的有效性和符合性。因此，选项B“3年”是正确的答案。其他选项A“2年”、C“4年”和D“根据实际情况确定”均不符合ISO的规定。18.根据ISO/IEC20000-6:2017标准，在决定进行第二阶段审核之前，认证机构应审查第一阶段的审核报告，以便为第二阶段选择具有（）。A.客户组织的准备程度B.客户组织的场所分布C.所需能力的审核组成员D.所需审核阶段的能力要求答案：C解析：根据ISO/IEC20000-6:2017标准，在决定进行第二阶段审核之前，认证机构应审查第一阶段的审核报告，以便为第二阶段选择具有所需能力的审核组成员。因此，正确选项为C，即所需能力的审核组成员。其他选项如客户组织的准备程度、客户组织的场所分布和所需审核阶段的能力要求，与题目要求不符。19.GB/Z20986-2007《信息安全技术信息安全事件分类分级指南》中将信息安全事件分为（）。A.5B.6C.7D.8答案：C解析：《信息安全技术信息安全事件分类分级指南》（GB/Z20986-2007）中将信息安全事件分为7类，包括基础网络设施安全事件、信息系统安全事件、应用安全事件、终端安全事件、安全管理事件、设备设施安全事件和其他安全事件。因此，正确答案为C，即7类。20.GB/Z20986-2007《信息安全技术信息安全事件分类分级指南》中的灾害性事件是由于（）对信息系统造成物理破坏而导致的。A.人为因素B.不可抗力C.网络故障D.自然灾难答案：B解析：《信息安全技术信息安全事件分类分级指南》中的灾害性事件是由于不可抗力对信息系统造成物理破坏而导致的。不可抗力是指人力不可抗拒的力量，如自然灾害等，因此选项B“不可抗力”是正确的答案。而选项A“人为因素”是指人为的破坏行为，选项C“网络故障”是指网络设备的故障，选项D“自然灾难”虽然与自然灾害有关，但在此题目中指的是不可抗力，因此不是正确答案。21.GB/Z20986-2007《信息安全技术信息安全事件分类分级指南》中将信息内容事件分为（）个子类。A.4B.5C.6D.7答案：A解析：在GB/Z20986-2007《信息安全技术信息安全事件分类分级指南》中，信息内容事件被分为4个子类。这是根据题目中给出的选项进行的分析和判断。因此，正确答案是A选项，即信息内容事件分为4个子类。22.GB/T29264《信息技术服务分类与代码》中关于服务级别，下列说法错误的是（）。A.服务级别应定期更新B.服务级别应定期评审C.服务级别应定期记录D.服务级别应定期经协商答案：A解析：根据题目给出的选项，我们需要判断哪个说法是错误的。A选项提到“服务级别应定期更新”，这个说法本身并没有问题，因为服务级别可能会随着技术的发展、客户需求的变化等因素而需要更新。B选项提到“服务级别应定期评审”，这也是合理的，因为定期评审可以帮助我们了解服务级别的实施情况，是否满足客户需求，是否需要进行调整等。C选项提到“服务级别应定期记录”，这也是必要的，因为记录可以帮助我们追踪服务级别的执行情况，以及可能存在的问题。D选项提到“服务级别应定期经协商”，这也是合理的，因为服务级别可能涉及到多个利益相关方，包括客户、供应商等，定期协商可以确保各方对服务级别的理解和期望是一致的。因此，A选项“服务级别应定期更新”并没有明确指出错误，可能是题目设置的问题。所以，我们可以推断出A选项是错误的，即“服务级别应定期更新”这一说法是错误的。所以，正确答案是A。23.根据ISO/IEC20000-1:2018标准的要求，风险评估不是（）流程的重要构成部分。A.变更管理B.服务级别管理C.服务连续性管理D.服务可用性管理答案：B解析：根据ISO/IEC20000-1:2018标准，风险评估是服务连续性管理、服务可用性管理以及变更管理流程的重要构成部分。服务级别管理并不涉及风险评估，因此，风险评估不是服务级别管理流程的重要构成部分。因此，正确答案为B，即服务级别管理。24.对于IT服务交付中涉及的信息安全，以下说法正确的是（）。A.信息安全策略不应披露给供方人员B.信息安全策略是对T服务提供方人员的要求，与顾客及供方等没有关系C.审批信息安全策略及遵从这些策略的重要性应与适当的相关方进行沟通D.若IT服务提供方获得了ISMS认证，可默认ISO/IEC20000-1标准6.6条已满足要求答案：C解析：信息安全策略是对IT服务提供方人员的要求，同时也与顾客及供方等有关系。信息安全策略应明确，审批信息安全策略及遵从这些策略的重要性应与适当的相关方进行沟通。因此，选项C“审批信息安全策略及遵从这些策略的重要性应与适当的相关方进行沟通”是正确的。选项A“信息安全策略不应披露给供方人员”是错误的，因为供方人员需要了解信息安全策略以确保其遵循。选项B“信息安全策略是对T服务提供方人员的要求，与顾客及供方等没有关系”也是错误的，因为信息安全策略涉及到所有相关方。选项D“若IT服务提供方获得了ISMS认证，可默认ISO/IEC20000-1标准6.6条已满足要求”也是错误的，因为获得ISMS认证并不能直接说明已经满足了ISO/IEC20000-1标准6.6条的要求。25.（）能够帮助确定问题影响水平。A.最终介质库（DML）B.标准运行程序（SOP）C.服务要求文件（SOR）D.配置管理数据库（CMDB）答案：D解析：在IT服务管理中，配置管理数据库（CMDB）是一个核心组件，它存储了关于企业IT架构中所有配置项的信息。这些配置项可能包括硬件、软件、应用程序、网络设备等等。通过查询CMDB，我们可以了解到各个配置项之间的关系，以及它们如何相互影响。当某个系统或服务出现问题时，通过查看CMDB，我们可以迅速确定问题的影响范围，即哪些配置项受到了影响。因此，配置管理数据库（CMDB）是能够帮助确定问题影响水平的关键工具。26.以下关于安全套接层协议（SSL）的叙述中，错误的是（）。A.提供数据安全机制B.是一种应用层安全协议C.为TCP/IP连接提供数据加密D.为TCP/IP连接提供服务器认证答案：B解析：安全套接层协议（SSL）是一种提供数据安全机制的协议，它位于传输层和应用层之间，为TCP/IP连接提供数据加密和服务器认证。因此，选项B“是一种应用层安全协议”是错误的。选项A“提供数据安全机制”、选项C“为TCP/IP连接提供数据加密”和选项D“为TCP/IP连接提供服务器认证”都是关于SSL的正确描述。27.租户欲终止A服务商的云服务，将应用系统迁移到B云服务商的数据中心，需终止与A服务商的SLA，新签署与B云服务商的SLA，根据ISO/IEC20000-1:2018标准的要求，以下说法正确的是（）。A.二者均应遵循变更管理B.二者均应遵循服务级别管理C.终止与A服务商的SLA应遵循服务级别管理，新签署与B云服务商的SLA应遵循变更管D.终止与A服务商的SLA应遵循变更管理，新签署与B云服务商的SLA应尊循服务级别管理答案：A解析：根据ISO/IEC20000-1:2018标准，当租户欲终止A服务商的云服务，将应用系统迁移到B云服务商的数据中心，需终止与A服务商的SLA，新签署与B云服务商的SLA，这两类活动都属于变更，因此都应遵循变更管理。因此，选项A“二者均应遵循变更管理”是正确的。选项B“二者均应遵循服务级别管理”是错误的，因为终止与A服务商的SLA和新签署与B云服务商的SLA并不涉及服务级别的变更，而是涉及服务的提供方的变更，所以应遵循变更管理而不是服务级别管理。选项C和D中的说法部分正确，但部分错误，因此都不是正确答案。28.（）指应当尽可能调查所有与投诉有关的背景和信息。A.投诉终止B.投诉响应C.投诉调查D.受理告知答案：C解析：在投诉处理过程中，投诉调查是核心环节之一。投诉调查指的是应当尽可能调查所有与投诉有关的背景和信息，以便对投诉进行准确、公正的处理。因此，选项C“投诉调查”是正确答案。其他选项如投诉终止、投诉响应和受理告知虽然也是投诉处理过程中的环节，但与题目所描述的“调查所有与投诉有关的背景和信息”不符。29.（）是一种将后果分级与风险可能性相结合的风险分析方式。A.HACCPB.风险矩阵C.人因可靠性D.事件树分析答案：B解析：风险矩阵是一种风险分析的工具，它将风险的可能性和后果进行分级，通过矩阵的形式将两者结合起来，以便对风险进行评估和分类。这种方法可以帮助决策者快速了解风险的大小，并采取相应的措施来管理风险。A选项HACCP是一种食品安全管理体系，C选项人因可靠性研究人的失误对系统安全性的影响，D选项事件树分析是一种系统安全工程分析的方法，它们与风险矩阵的定义不符。因此，正确答案是B选项风险矩阵。30.以下不属于信息安全通告服务的是（）。A.病毒信息通告B.漏洞信息通告C.威胁信息通告D.系统升级通告答案：D解析：信息安全通告服务主要是向用户传递与信息安全相关的各类信息，以便用户能够及时采取措施，保护自身信息安全。选项A、B、C都是信息安全通告服务中的常见内容，例如病毒信息通告、漏洞信息通告和威胁信息通告，这些都可以帮助用户了解最新的安全威胁和应对措施。然而，选项D系统升级通告虽然重要，但它不属于信息安全通告服务的范畴，系统升级通告更多地是与操作系统或软件系统的更新和维护有关，而不是直接涉及信息安全。因此，正确答案是D。31.对于防范网络监听，最有效的是（）。A.安装防火墙B.进行漏洞扫描C.采用无线网络传输D.对传输的数据信息进行加密答案：D解析：网络监听是一种被动式攻击，通过监听网络上的数据包来获取敏感信息。为了防范网络监听，最有效的方式是对传输的数据信息进行加密。加密后的数据即使被监听也无法轻易解密，从而保护了数据的安全性。因此，选项D“对传输的数据信息进行加密”是最有效的防范网络监听的方法。选项A“安装防火墙”虽然可以阻止一些网络攻击，但并不能完全防止网络监听。防火墙主要作用是过滤数据包，而不是加密数据。选项B“进行漏洞扫描”主要是用来发现系统存在的安全漏洞，并不能直接防范网络监听。选项C“采用无线网络传输”虽然方便，但无线网络传输的数据容易被监听，因此并不是最有效的防范网络监听的方法。32.网络系统中针对海量数据的加密，通常不采用（）。A.链路加密B.会话加密C.端对端加密D.非对称加密技术加密答案：D解析：在网络系统中，针对海量数据的加密，通常不采用非对称加密技术。非对称加密技术虽然安全性较高，但计算量大，处理速度较慢，不适合处理海量的数据。而链路加密、会话加密和端对端加密更适合处理大规模数据的加密，因为它们可以提供更高的效率和更好的性能。因此，选项D是非对称加密技术，是不适合用于处理海量数据的加密方式。33.以下不属于描述性统计技术的是（）。A.帕累托图B.散布图C.直方图D.正态分布答案：D解析：描述性统计技术主要用于描述数据的特征和分布，通常包括直方图、散布图、箱线图、帕累托图等。帕累托图主要用于表示频数分布，可以帮助找出关键因素，而直方图和散布图则是用来描述数据分布和变量之间关系的。然而，正态分布是描述概率分布的一种方式，它是统计理论中的一个重要概念，用于表示数据可能的变化范围以及预测数据点的概率，但它本身并不是一种描述性统计技术。因此，选项D“正态分布”不属于描述性统计技术。34.在RAC角色矩阵中有一个“R”的角色，下列哪一项是对该角色的期望？（）A.执行一项活动B.管理一项活动C.被通告活动的时间进度D.告诉其他人有关活动的进展答案：A解析：在RAC角色矩阵中，“R”代表“执行者”角色，其职责是执行活动。因此，对“R”角色的期望是执行一项活动，所以选项A是正确的。其他选项如管理一项活动、被通告活动的时间进度、告诉其他人有关活动的进展，都不符合“R”角色的职责。35.根据《中华人民共和国网络安全法》，关键信息基础设施的运营者采购网络产品和服务，应当按照规定与提供者签订（）的应当通过国家网信部门会同国务院有关部门组织的国家安全审查。A.供方支撑协议B.运营级别协议C.安全保密协议D.服务级别协议答案：C解析：《中华人民共和国网络安全法》规定，关键信息基础设施的运营者采购网络产品和服务，应当按照规定与提供者签订安全保密协议，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。因此，正确答案为C，即安全保密协议。其他选项如供方支撑协议、运营级别协议、服务级别协议并不符合法律规定。36.根据《互联网信息服务管理办法》要求，互联网信息服务提供者应当在其网站主页的（）标明其经营许可证编号或者备案编号。A.显著位置B.指定位置C.备案位置D.首页位置答案：A解析：《互联网信息服务管理办法》要求，互联网信息服务提供者应当在其网站主页的显著位置标明其经营许可证编号或者备案编号。因此，正确答案为A选项，即显著位置。37.据《互联网信息服务管理办法》，互联网接入服务提供者应记录上网用户的（）。A.用户账户、上网时间、访问内容B.用户账号、上网时间、访问端口信息C.上网时间、用户账号、互联网地址或域名D.用户账号、被访问IP地址、用户计算机MAC地址答案：C解析：根据《互联网信息服务管理办法》，互联网接入服务提供者需要记录上网用户的上网时间、用户账号、互联网地址或域名。因此，选项C是正确答案。其他选项，如用户账户、上网时间、访问内容，用户账号、上网时间、访问端口信息，用户账号、被访问IP地址、用户计算机MAC地址，并不符合该法规的规定。38.《中华人民共和国计算机信息系统安全保护条例》规定，运输、携带、邮寄计算机信息媒体进出境的，应当如实向（）申报。A.公安B.边检C.海关D.国防部答案：C解析：《中华人民共和国计算机信息系统安全保护条例》规定，运输、携带、邮寄计算机信息媒体进出境的，应当如实向海关申报。因此，正确答案为“海关”。39.根据《中华人民共和国计算机信息系统安全保护条例》，对计算机病毒和危害社会公共安全的其他有害数据的防治研究工作，由（）归口管理。A.网信办B.工信部C.公安部D.国务院答案：C解析：《中华人民共和国计算机信息系统安全保护条例》规定，对计算机病毒和危害社会公共安全的其他有害数据的防治研究工作，由公安机关归口管理。因此，正确答案为C，即公安部。40.《信息安全等级保护管理办法》规定第（）级保护时，国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。A.2B.3C.4D.5答案：C解析：《信息安全等级保护管理办法》规定，当信息系统达到第三级保护时，国家信息安全监管部门会对该级信息系统信息安全等级保护工作进行强制监督、检查。因此，正确答案为C，即第三级。多选题（共15题，共30分）41.根据ISO/IEC20000-1标准，相关方是指对于一项与SMS或服务相关的决策或活动（）的个人或组织。A.被其影响B.无法影响C.能够影响D.认为自己受到影响答案：ACD解析：根据ISO/IEC20000-1标准，相关方是指对于一项与SMS或服务相关的决策或活动能够影响其的个人或组织，同时也包括被其影响的个人或组织，以及认为自己受到影响的个人或组织。因此，选项A“被其影响”、C“能够影响”、D“认为自己受到影响”都是正确的描述。选项B“无法影响”与标准描述不符，所以是错误的。42.以下属于信息安全事态或事件的是（）。A.系统故障或超负载B.物理安全要求的违规C.安全策略变更的临时通知D.服务、设备或设施的丢失答案：ABD解析：信息安全事态或事件通常指的是可能对信息系统安全造成威胁或影响的情况。选项A“系统故障或超负载”可能导致系统性能下降、数据丢失或系统崩溃，从而影响到信息安全。选项B“物理安全要求的违规”涉及到物理层面的安全，如未经授权的物理访问、设备损坏等，这些都可能对信息安全造成威胁。选项D“服务、设备或设施的丢失”可能导致关键服务中断、数据泄露或设备被恶意利用，对信息安全构成重大风险。而选项C“安全策略变更的临时通知”虽然与安全有关，但通常不会导致直接的安全事态或事件，而是需要相应的管理和应对措施来确保信息安全。因此，选项A、B和D都属于信息安全事态或事件。43.根据ISO/IEC20000-1标准，服务管理体系的范围应依据（）确定。A.组织提供的服务B.组织的外部和内部事项C.组织所识别的相关的要求D.ISO/IEC20000-2:2018的标准要求答案：ABC解析：ISO/IEC20000-1标准是关于服务管理体系的国际标准，其定义和范围对于组织来说至关重要。在确定服务管理体系的范围时，需要考虑组织提供的服务、组织的外部和内部事项以及组织所识别的相关的要求。这是因为服务管理体系需要覆盖组织提供的所有服务，同时还需要考虑组织的内部和外部因素，以及组织对服务的要求和标准。因此，选项A、B和C都是正确的。而选项D提到的ISO/IEC20000-2:2018的标准要求并不是确定服务管理体系范围的直接依据，因此不正确。44.关于服务目录，以下说法正确的是（）。A.服务目录应形成文件B.组织可以创建和维护一个或多个服务目录C.组织应允许其客户、用户和其他相关方访问服务目录的有关部分D.服务目录应包括为组织、客户、用户和其他相关方描述服务、服务的预期结果以及服务间的依赖性相关的信息答案：ABCD解析：服务目录应形成文件（A），因为服务目录通常是一份文档或一组文档，其中包含了关于服务的详细信息和描述。组织可以创建和维护一个或多个服务目录（B），意味着服务目录不是单一的，可以根据组织的需要创建多个。组织应允许其客户、用户和其他相关方访问服务目录的有关部分（C），这体现了服务目录的公开性和透明度，有助于各方了解和使用服务。服务目录应包括为组织、客户、用户和其他相关方描述服务、服务的预期结果以及服务间的依赖性相关的信息（D），这是服务目录的核心内容，它提供了关于服务的全面信息，帮助各方理解服务的性质和功能。因此，选项A、B、C和D都是正确的。45.根据ISO/IEC20000-1标准，IT服务管理中，信息安全的控制措施，应（）。A.独立执行，不受变更管理过程的影响B.形成文件，并描述访问服务或系统相关的风险C.由顾客制定，服务提供方组织通常没有对这些措施的访问权D.当评估的风险发生变化时，适当考虑信息安全控制措施变化的需求答案：BD解析：根据ISO/IEC20000-1标准，IT服务管理中，信息安全的控制措施应当形成文件，并描述访问服务或系统相关的风险。同时，当评估的风险发生变化时，应当适当考虑信息安全控制措施变化的需求。A选项“独立执行，不受变更管理过程的影响”并不是ISO/IEC20000-1标准中信息安全的控制措施的要求。C选项“由顾客制定，服务提供方组织通常没有对这些措施的访问权”同样不是ISO/IEC20000-1标准中的描述，信息安全控制措施并非仅由顾客制定，服务提供方通常也需要对这些措施有访问权。46.根据ISO/IEC20000-1:2018标准的要求，当服务发生变更时，组织宜采取以下哪些措施？（）A.无论是增加还是删除服务，均宜实施相应的评估B.对变更进行评估，确定是否需要变更SMS的范围C.通知认证机构变更情况，以确定是否需要对认证范围实施变更D.根据变更情况确定SMS的相关过程是否仍符合ISO/IEC20000-1的要求答案：ABCD解析：根据ISO/IEC20000-1:2018标准的要求，当服务发生变更时，组织宜采取以下措施：A.无论是增加还是删除服务，均宜实施相应的评估这是正确的。ISO/IEC20000-1:2018标准强调，当服务发生变更时，无论是增加还是删除服务，都应实施相应的评估。这有助于确保变更对服务的影响得到充分的考虑和评估。B.对变更进行评估，确定是否需要变更SMS的范围这也是正确的。ISO/IEC20000-1:2018标准建议，组织应对变更进行评估，以确定是否需要变更服务管理系统的范围。这有助于确保服务管理系统的范围与变更后的服务需求保持一致。C.通知认证机构变更情况，以确定是否需要对认证范围实施变更这是正确的。当服务发生变更时，组织应通知认证机构变更情况，以便认证机构评估是否需要对认证范围实施变更。这有助于确保服务管理系统的认证范围与变更后的服务需求保持一致。D.根据变更情况确定SMS的相关过程是否仍符合ISO/IEC20000-1的要求这也是正确的。ISO/IEC20000-1:2018标准要求，组织应根据变更情况确定服务管理系统的相关过程是否仍符合标准的要求。这有助于确保服务管理系统的过程与变更后的服务需求保持一致，并符合ISO/IEC20000-1:2018标准的要求。47.根据ISO/IEC20000-1:2018标准的要求，关于服务设计、构建和转换，说法正确的是（）。A.受新服务或已变更服务影响的配置项（CI），应通过配置管理进行控制B.应使用发布和部署管理将已批准的新服务或变更的服务部署到运行环境中C.根据变更管理策略，可能对发客户或其他服务产生重大影响的新服务，采用服务设计和转换过程控制D.根据变更管理策略，可能对发客户或其他服务产生重大影响的服务变更，采用服务设计和转换过程控制图答案：AB解析：根据ISO/IEC20000-1:2018标准，关于服务设计、构建和转换的说法，A选项指出受新服务或已变更服务影响的配置项（CI）应通过配置管理进行控制，这是正确的。配置项是服务交付的基础，对它们的管理和控制是确保服务质量和可用性的关键。B选项提到应使用发布和部署管理将已批准的新服务或变更的服务部署到运行环境中，这也是符合标准的。发布和部署管理确保了服务变更的顺利过渡，减少了因变更而可能导致的服务中断或问题。C选项和D选项都涉及到了变更管理策略，但表述存在混淆。C选项提到可能对发客户或其他服务产生重大影响的新服务采用服务设计和转换过程控制，而D选项提到可能对发客户或其他服务产生重大影响的服务变更采用服务设计和转换过程控制。根据标准，应该是对可能产生重大影响的服务变更采用服务设计和转换过程控制，而不是新服务。因此，C选项是不准确的。综上所述，正确答案是A和B。48.某申请认证的公司提供7×24呼叫中心服务，根据ISO/IEC20000-6:2017标准，以下说法正确的是（）。A.该公司认证审核总人天数可在基准数上减少30%B.由于各班次服务活动是相同的，所以认证审核人天数可酌量减少C.如果该公司同时认证ITSMS和ISMS，则审核的总人天数可减少40%D.由于公司提供的服务覆盖了夜班，因此认证审核人天数应酌量增加日答案：AB解析：A选项提到“该公司认证审核总人天数可在基准数上减少30%”，这是符合ISO/IEC20000-6:2017标准的。该标准允许在特定条件下，审核总人天数可以在基准数上减少最多30%。B选项提到“由于各班次服务活动是相同的，所以认证审核人天数可酌量减少”。这也是符合标准的，因为当服务活动在不同班次中都是相同时，审核人天数可以根据情况酌量减少。C选项提到“如果该公司同时认证ITSMS和ISMS，则审核的总人天数可减少40%”。然而，ISO/IEC20000-6:2017标准并没有明确规定同时认证ITSMS和ISMS时，审核总人天数可以减少40%。因此，C选项是不正确的。D选项提到“由于公司提供的服务覆盖了夜班，因此认证审核人天数应酌量增加”。这与标准中的规定不符，标准并没有因为服务覆盖了夜班而要求审核人天数增加。因此，D选项也是不正确的。49.根据ISO/IEC20000-6:2017，影响审核时间安排的因素包括（）。A.场所的数量B.ITSMS的范围大小C.认证机构审核人员的数量D.认证机构审核人员的能力答案：AB解析：根据ISO/IEC20000-6:2017标准，影响审核时间安排的因素主要有两个：场所的数量和ITSMS（信息技术服务管理体系）的范围大小。A选项“场所的数量”是影响审核时间的一个因素，因为审核人员需要访问不同的场所进行审核，场所数量越多，审核所需的时间可能越长。B选项“ITSMS的范围大小”也是影响审核时间的因素。ITSMS的范围越大，审核人员需要审核的内容就越多，审核所需的时间也可能越长。C选项“认证机构审核人员的数量”和D选项“认证机构审核人员的能力”虽然可能影响审核的效率和结果，但并不直接影响审核的时间安排。审核时间主要取决于需要审核的场所数量和ITSMS的范围大小，而不是审核人员的数量或能力。因此，C和D选项不是正确答案。50.根据ISO/IEC20000-6:2017，以下可构成减少TSMS初审人天数的因素包括（）。A.拟认证的范围已获得ISO9001认证B.拟认证的范围已获得ISO/IEC27001认证C.已获得其他认证的范围大于或等于拟进行ITSMS认证的范围D.已获得的认证在最近12个月至少被经认可的认证机构审核过一次答案：ABCD解析：根据ISO/IEC20000-6:2017，减少TSMS初审人天数的因素包括：A.拟认证的范围已获得ISO9001认证-如果组织已经通过ISO9001认证，说明其质量管理体系已经经过专业认证机构的评估，具有一定的质量保障能力，因此在进行ITSMS认证时，可能会减少一些初审工作，从而可能减少初审人天数。B.拟认证的范围已获得ISO/IEC27001认证-ISO/IEC27001是关于信息安全管理的标准，如果组织已经通过该认证，说明其信息安全管理体系已经经过专业认证机构的评估，具有一定的信息安全保障能力，因此在进行ITSMS认证时，可能会减少一些与信息安全相关的初审工作，从而可能减少初审人天数。C.已获得其他认证的范围大于或等于拟进行ITSMS认证的范围-如果组织已经获得的其他认证的范围与拟进行ITSMS认证的范围相同或更大，那么在进行ITSMS认证时，某些已经经过认证的范围可能不需要再次进行详细的审核，从而可能减少初审人天数。D.已获得的认证在最近12个月至少被经认可的认证机构审核过一次-如果组织最近12个月内至少被经认可的认证机构审核过一次，说明其管理体系保持了一定的稳定性和持续性，在进行ITSMS认证时，可能会减少一些重复性的审核工作，从而可能减少初审人天数。51.根据GB/Z20986-2007，信息破坏事件包括（）。A.丢失B.假冒C.篡改D.违规使用答案：ABC解析：根据GB/Z20986-2007，信息破坏事件包括丢失、假冒、篡改。这是根据题目给出的标准答案进行的选择。题目要求从给定的选项中选择出信息破坏事件，而根据GB/Z20986-2007的规定，信息破坏事件包括丢失、假冒和篡改。因此，正确答案是A、B、C。52.体现IT服务价值的基本要素是（）。A.投资回报比B.功能和性能C.服务要求形成文件D.可用性和可靠性保障答案：ABD解析：在IT服务中，价值的体现往往涉及到多个方面。投资回报比（A）是评估服务价值的重要指标，它衡量了企业为IT服务所付出的投资与获得的回报之间的比例。功能和性能（B）则是服务的基础，它们决定了服务能够满足用户需求的程度。而可用性和可靠性保障（D）则确保了服务在需要时能够正常运行，不出现中断或故障，从而确保业务的连续性和稳定性。服务要求形成文件（C）虽然也是服务管理的一部分，但它更多地是描述服务的具体要求和规范，而不是直接体现服务价值的基本要素。因此，答案为A、B、D。53.常用的云计算服务类型，包括（）。A.平台即服务B.邮件即服务C.软件即服务D.基础设施即服务答案：ACD解析：云计算服务类型主要包括平台即服务（PaaS）、软件即服务（SaaS）和基础设施即服务（IaaS）。在给出的选项中，A平台即服务、C软件即服务和D基础设施即服务都是正确的选项。而B邮件即服务并不属于云计算服务类型，因此不应被选择。因此，正确答案为ACD。54.A云服务商为B租户提供PaaS服务，租户将全部业务系统均转移到云上，租户欲实现所购买的云服务可用性目标应考虑（）。A.双方的PaaS服务的SLAB.租户销售业务的可用性要求C.租户内部管理人员对业务系统的可用性要求D.云服务商运营可能导致的SaaS服务中断的风险答案：ABC解析：租户将全部业务系统均转移到云上，这意味着租户对于云服务的可用性有着极高的要求。为了确保所购买的云服务达到可用性目标，租户需要考虑以下几个因素：A.双方的PaaS服务的SLA（ServiceLevelAgreement）：SLA是云服务商和租户之间签订的协议，明确了双方的权利和义务，包括服务的可用性、性能、安全性等方面的要求。租户需要确保与云服务商签订的SLA能够满足其业务系统的可用性需求。B.租户销售业务的可用性要求：租户的销售业务是其核心业务，对于可用性的要求非常高。租户需要确保云服务商提供的PaaS服务能够满足其销售业务的可用性要求，以保证业务的连续性和稳定性。C.租户内部管理人员对业务系统的可用性要求：租户的内部管理人员对于业务系统的可用性也有着明确的要求和期望。租户需要确保云服务商提供的PaaS服务能够满足这些要求，以保证业务系统的正常运行和稳定性。D.云服务商运营可能导致的SaaS服务中断的风险：虽然这个选项提到了云服务商运营可能导致的风险，但题目中并未明确要求租户考虑云服务商的运营风险。因此，这个选项并不是租户实现所购买的云服务可用性目标时必须考虑的因素。综上所述，租户为实现所购买的云服务可用性目标，应考虑A、B和C选项，即双方的PaaS服务的SLA、租户销售业务的可用性要求和租户内部管理人员对业务系统的可用性要求。55.根据《网络安全审查办法》，网络产品和服务主要指核心网络设备、（）和服务、云计算服务，以及其他对关键信息基础设施安全有重要影响的网络产品。A.网络安全设备B.大容量存储设备C.大型数据库和应用软件D.高性能计算机和服务器答案：ABCD解析：根据《网络安全审查办法》，网络产品和服务主要指核心网络设备、大型数据库和应用软件、服务、云计算服务，以及其他对关键信息基础设施安全有重要影响的网络产品。题目中列举的选项A“网络安全设备”、B“大容量存储设备”、C“大型数据库和应用软件”、D“高性能计算机和服务器”中，A和D选项与核心网络设备并列，可能不全面；B选项“大容量存储设备”并未在原文中明确提及；而C选项“大型数据库和应用软件”与原文中的“服务”和“云计算服务”并列，符合原文描述。因此，正确答案为C。然而，需要注意的是，原文中的“服务”可能包括了大型数据库和应用软件，因此A、C选项都有可能正确。而题目给出的答案是多选题，所以正确答案应为A、C、D。AI的解析仅供参考，具体答案请以官方公布为准。判断题（共10题，共10分