2016年6月信息技术服务治理体系审核员考试试题-及其答案~(审核部分~).doc

《2016年6月信息技术服务治理体系审核员考试试题-及其答案~(审核部分~).doc》由会员分享，可在线阅读，更多相关《2016年6月信息技术服务治理体系审核员考试试题-及其答案~(审核部分~).doc（10页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、-_ CCAA 信息安全管理体系审核员考试（审核知识与技能）信息安全管理体系审核员考试（审核知识与技能）姓 名：身份证号： 单位名称： 考试日期：年月日类别单选题多选题阐述题案例分析题总得分得分阅卷人签字备注复核人签字备注一、单项选择题一、单项选择题( (从下面各题选项中选出一个最恰当的答案，并将相应字母填在下表相应位置中。每题从下面各题选项中选出一个最恰当的答案，并将相应字母填在下表相应位置中。每题 1 1 分，共分，共 4040 分。分。) ) 题号1234567891011121314151617181920 答案BDCABCDBADBACBDACADA 题号21222324252627

2、28293031323334353637383940 答案BDBDDBCDADBADCBBCCDA题号12345 考点4.1a4.1a4.1a4.1a4.1a 难度34332 题号678910 考点4.1a4.1a4.1a4.1a4.1a 难度333333 题号1112131415 考点4.1a4.1a4.1a4.1a4.1a 难度32323 题号1617181920 考点4.1a4.1a4.1a4.1a4.1a 难度33433 题号2122232425 考点4.1b4.1b4.1b4.1b4.1c 难度33333 题号2627282930 考点4.2a4.2a4.2b4.2b4.2b 难度3

3、3333 题号3132333435 考点4.2b4.2b4.2b4.2b4.2b 难度33333 题号3637383940 考点4.34.34.34.34.3 难度34333 备注：考点描述按考试大纲的编号给出，其中标准要求部分再添加标准条款号备注：考点描述按考试大纲的编号给出，其中标准要求部分再添加标准条款号 （见上面例子）（见上面例子）难度按难度按 5 5 级划分，级划分，1 1 级很容易，答题正确率级很容易，答题正确率 90%90%以上，以上，2 2 级较容易，答题正确率级较容易，答题正确率 80-90%80-90%之间，之间，3 3 级级 中等，答题正确率中等，答题正确率 70-80%

4、70-80% ，4 4 级较难，答题正确率级较难，答题正确率 50-70%50-70%，5 5 级很难，答题正确率级很难，答题正确率 50%50%以下。答题正确以下。答题正确 率在率在 30%30%以下的题不要出。以下的题不要出。-_1 对于目标不确定性的影响是（ ）。 A风险评估 B风险 C不符合 D风险处置2 管理体系是（ ）。 A应用知识和技能获得预期结果的本领的系统 B可引导识别改进的机会或记录良好实践的系统 C对实际位置、组织单元、活动和过程描述的系统 D建立方针和目标并实现这些目标的体系3 审核的特征在于其遵循（ ）。 A充分性、有效性和适宜性 B非营利性 C若干原则 D客观性4.

5、 审核员在（ ）应保持客观性。 A整个审核过程 B全部审核过程 C完整审核过程 D现场审核过程5. 如果审核目标、范围或准则发生变化，应根据（ ）修改审核方案。 A顾客建议 B需要 C认可规范 D认证程序6. 在审核过程中，出现了利益冲突和能力方面的问题，审核组的（ ）可能有必要加以调整。 A审核员和技术专家 B审核组长和审核员 C规模和组成 D实习审核员7. 从审核开始直到审核完成，（ ）都应对审核的实施负责。 A管理者代表 B审核方案人员 C认证机构 D审核组长8. 当审核不可行时，应向审核委托方提出（ ）并与受审核方协商一致。 A合理化建议 B替代建议 C终止建议 D调整建议9. 文件评

6、审应考虑受审核方管理体系和组织的规模、性质和复杂程度以及审核的（ ）A目标和范围 B方针和目标 C方案和计划 D标准和法规-_10. 在编制审核计划时，审核组长不应考虑以下方面（ ）A适当的抽样技术 B审核组的组成及其整体能力 C审核对组织形成的风险 D企业文化11. 对于初次审核和（ ），审核计划的内容和详略程度可以有所不同。 A监督审核、内部审核和外部审核 B随后的审核、内部审核和外部审核 C监督审核、再认证审核和例外审核 D预审核、一阶段审核和二阶段审核12. 如果在审核计划所规定的时间框架内提供的文件（ ），审核组长应告知审核方案管理人员和受审核方。A不适宜、不充分 B不是最新版本 C

7、未经过审批 D不完整、不准确13. 观察员应承担由审核委托方和受审核方（ ）与健康安全、保安和保密相关的义务。 A规定的 B法定的 C约定的 D确定的14. 只有能够（ ）信息方可作为审核证据。 A确认的 B验证的 C证实的 D可追溯的15. 当审核计划有规定时，具体的审核发现应包括具有（ ）、改进机会以及对受审核方的建议。A证据支持的审核证据 B可以验证的记录或事实陈述 C经过确认的审核记录 D证据支持的符合事项和良好实践16. 如果审核计划中有规定，审核结论可提出改进的（ ）或今后审核活动的（ ）。 A建议建议 B方法方法 C途径途径 D步骤步骤17. 对于另一些情况，例如内部审核，末次会

8、议（ ），只是沟通审核发现和审核结论。A可以不举行 B必须举行 C可以不太正式 D可以不以会议形式18. 审核的完成（ ）。 A当所有策划的审核活动已经执行或出现与审核委托方约定的情形时（例如出现了妨碍完成审核计划 的非预期情形），审核即告完成-_B当受审核方获得认证证书时，审核即告完成 C当审核组长提交审核报告时，审核即告完成 D当受审核方不符合项整改完成后，审核即告完成19. 从审核中获得的（ ）应作为受审核组织的管理体系的持续改进过程的输入。 A整改措施 B不符合项 C合理化建议 D经验教训20. 审核员应在从事审核活动时展现（ ）。A职业素养 B知识技能 C专业技能 D文化素养21.

9、ITSMS认证机构应确保客户组织通过其( )以及其他适用的方面清晰界定其ITSMS的范围和边界。A所提供的服务、交付服务的地点、服务提供所用的技术 B组织单元、所提供的服务、交付服务的地点、服务提供所用的技术 C针对每个客户组织建立审核方案，并对该审核方案进行管理 D宜说明拟在审核中使用的远程审核技术22. 适用时，客户组织应在递交认证申请时指明( )在 ITSMS 范围内的服务活动。A完全不包含 B不包含 C部分包含 D不完全包含23. ITSMS 认证机构宜根据已获证客户组织ITSMS 的变化对已有的能力需求分析结果进行审查和必要的（ ）。A升级 B更新 C修订 D变换24. 远程审核技术

10、，例如，电话会议、网络会议、基于网络的互动式沟通和（ ）访问ITSMS文件和（或） ITSMS过程等方式。 A远程通信 BVPN技术 C电子邮件 D远程电子25. 计算机机房应当符合国家标准和国家有关规定。（ ） A不得在计算机机房附近施工 B获得许可方可在计算机机房附近施工 C在计算机机房附近施工，应做好安全防护 D在计算机机房附近施工，不得危害计算机信息系统的安全26. 在规定时刻或规定时间段内，部件或服务执行要求功能的能力是（ ）。 A连续性 B可用性 C基线 D发布-_27. 服务提供方与客户之间签署的、描述服务和约定服务级别的协议是（ ）。 ACMDB BOLA CSLA DMTTR

11、28. 在进入实际运行环境之前，新服务或变更的服务应由( )进行验收。 A相关方 B供应商 C顾客 D服务提供方29. 与相应服务级别（ ）一起提供的整体服务范围，应由相关方进行协商并记录。 A目标和工作量特性 B计划和工作量特性 C方案和指标特性 D水平和指标特性30. 可用性和服务连续性的需求应包括（ ），以及系统部件的端对端可用性。 A联系人清单和配置管理数据库 B所有的连续性测试 C不可用性 D访问权和响应次数31. 服务提供方应监视并报告预算的支出，( )，从而管理支出。 A评审财务成本 B评审财务预报 C有效的财务控制和授权 D通过变更管理过程来对服务财务变更进行估价和批准32.

12、所有正式的服务投诉应由服务提供方进行（ ），并调查原因，采取措施，予以报告并正式关闭。 A记录 B确认 C评估 D分析33. 应及时通知（ ）有关他们所报告的事件或服务请求的进展情况。 A服务提供方 B维修方 C相关方 D客户34. 配置管理应提供识别、控制与追踪服务和基础设施的（ ）版本的机制。 A可识别组件 B配置项 C可识别部件 D系统35. 应（ ）变更记录，以检查变更的增长程度、频繁重现的类型、呈现的趋势和其他相关信息。 A不定期分析 B定期分析-_C及时分析 D根据需求分析36. 数字签名包括（ ）。A. 签署过程B. 签署和验证两个过程 C. 验证过程 D. 以上答案都不对37.

13、 信息系统安全等级保护是指（ ）。 A对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息 的信息 系统分等级实行安全保护。 B对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息 的信息 系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理。 C对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息 的信息 系统分等级实行安全保护， 对信息系统中使用的信息安全产品实行按等级管理， 对信息系 统中发生的 信息安全事件分等级响应和处置。 D对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储

14、、传输、处理这些信息的信息系 统分等级实行安全保护，对信息系统中发生的信息安全事件分等级响应和处置。38. 有时候我们需要暂时离开计算机，但经常又会忘记了锁定系统时，可 以设置（ ）口令。 ACMOS B系统账户登录 C屏保锁定 D锁定39. 若 word 文件设置的是“修改文件时的密码” ，那么打开该文档时若不输入 密码，就会（ ）。A以普通方式打开文档，允许对文件修改B不能打开文档C不断出现提示框，直到用户输入正确密码为止D以只读的方式打开文档40. 选择操作系统输入法可按下列哪个组合键( )A.Ctrl+ShiftB.Ctrl+AltC.Ctrl+空格键D.Shift+Alt-_二、多项

15、选择题二、多项选择题( (从下面各题选项中选出一个或多个恰当的答案，并将相应字母填在下表相应位置中。每从下面各题选项中选出一个或多个恰当的答案，并将相应字母填在下表相应位置中。每 题题 2 2 分，共分，共 1010 分。分。) ) 题号12345 答案ABCDABCABDBCDBCD题号12345 考点4.1a4.1a4.2b4.2b4.3 难度33433 备注：考点描述按考试大纲的编号给出，其中标准要求部分再添加标准条款号备注：考点描述按考试大纲的编号给出，其中标准要求部分再添加标准条款号 （见上面例子）（见上面例子）难度按难度按 5 5 级划分，级划分，1 1 级很容易，答题正确率级很容

16、易，答题正确率 90%90%以上，以上，2 2 级较容易，答题正确率级较容易，答题正确率 80-90%80-90%之间，之间，3 3 级级 中等，答题正确率中等，答题正确率 70-80%70-80% ，4 4 级较难，答题正确率级较难，答题正确率 50-70%50-70%，5 5 级很难，答题正确率级很难，答题正确率 50%50%以下。答题正确以下。答题正确 率在率在 30%30%以下的题不要出。以下的题不要出。1. 审核计划应包括或涉及下列内容( )A.审核范围，包括受审核的组织单元、职能单元以及过程 B.实施审核活动的地点、日期、预期的时间和期限，包括与受审核方管理者的会议C.为审核的关键

17、区域配置适当的资源D.确保所策划的审核活动能够实施2. 首次会议的目的是( ) A.确认所有有关方（例如受审核方、审核组）对审核计划的安排达成一致 B.介绍审核组成员 C.确保所策划的审核活动能够实施 D.针对实现审核目标的不确定因素而采取的特定措施3. 服务提供方应实施服务管理计划，以管理并交付服务，包括( ) A.角色和职责的分配 B.团队的管理，例如，补充并培养适当的人员，对人员的连续性进行管理 C.整个组织的改进或多个过程的改进 D.包括服务台和服务运行组在内的团队的管理4. 服务提供方应与企业对( )和硬件的发布进行策划 A.组件 B.服务 C.软件 D.系统5. TCP/IP 层次

18、结构有哪些组成？（ ） A. 链路层 B. 应用层 C. 网络层和网络接口层 D. 传输层 二、简述题（每题二、简述题（每题 1010 分，共分，共 2020 分）分）题号12 考点4.2b4.1a 难度43 备注：考点描述按考试大纲的编号给出，其中标准要求部分再添加标准条款号备注：考点描述按考试大纲的编号给出，其中标准要求部分再添加标准条款号 （见上面例子）（见上面例子）难度按难度按 5 5 级划分，级划分，1 1 级很容易，答题正确率级很容易，答题正确率 90%90%以上，以上，2 2 级较容易，答题正确率级较容易，答题正确率 80-90%80-90%之间，之间，3 3 级级 中等，答题正

19、确率中等，答题正确率 70-80%70-80% ，4 4 级较难，答题正确率级较难，答题正确率 50-70%50-70%，5 5 级很难，答题正确率级很难，答题正确率 50%50%以下。答题正确以下。答题正确 率在率在 30%30%以下的题不要出。以下的题不要出。-_1、审核员在项目部查看了去年的事件管理记录共 20 项，其中有 17 项已经按照程序要求，进行了业务影响分析、分类、更新、升级、解决和正式关闭。 但有 3 项事件没有正式关闭，审核员据此开了不符合项，并结束了此项的审核。这样的审核是否符合要求？为什么？如果请您去审核，您会怎么做？参考答案说明，答案要点，应简洁，但要留有灵活性，不能

20、只是固定描述参考答案说明，答案要点，应简洁，但要留有灵活性，不能只是固定描述不符合要求，因为没有及时通知客户有关他们所报告的事件或服务请求的进展情况。如果我去审核，我将按以下思路审核：1） 是否对这 3 项事件进行了业务影响分析、分类；2） 针对需要更新或升级的项目是否实施；3） 是否及时通知客户有关他们所报告的事件或服务请求的进展情况；4） 如果不能满足他们的服务级别，是否事先警告，并且就此进行了协商等。 评分：第一问回答正确得 2 分，第二问回答正确得 3 分，第三问以是否及时通知客户有关他们所报告的 事件或服务请求的进展情况为核心回答，得 4 分，第四问回答正确得 1 分2、审核员在审核

21、上一次的内部审核报告时，发现这次内审开了 10 项不符合项，其中有 3 项不符合项的受审核部门未签字确认。就问迎审人员对这 3 项未确认的不符合项如何处置。迎审人员说：最近项目很忙，没有来得及处置，等忙完这一阵子就对这 3 项不符合项进行分析原因，制定纠正措施。他这样处置，您认为是否遗漏了哪些内容？ 参考答案说明，答案要点，应简洁，但要留有灵活性，不能只是固定描述参考答案说明，答案要点，应简洁，但要留有灵活性，不能只是固定描述不符合要求，原因如下： 1）对不符合是否进行分级； 2）是否与受审核部门一起评审不符合，以获得承认，并确认审核证据的准确性，使受审核部门理解 不符合；3）是否努力解决对审

22、核证据或审核发现有分歧的问题，并记录尚未解决的问题。评分：第一问回答正确得 2 分，第二问回答正确得 4 分，第三问回答正确得 4 分四、案例分析题（每题四、案例分析题（每题 5 5 分，共分，共 3030 分）分）题 号123456考 点4.2 b/9.14.2b/8.34.2b/10.14.2b/3.24.2b/8.24.2b/9.2难 度433334备注：考点描述按考试大纲的编号给出，其中标准要求部分再添加标准条款号备注：考点描述按考试大纲的编号给出，其中标准要求部分再添加标准条款号 （见上面例子）（见上面例子）难度按难度按 5 5 级划分，级划分，1 1 级很容易，答题正确率级很容易，

23、答题正确率 90%90%以上，以上，2 2 级较容易，答题正确率级较容易，答题正确率 80-90%80-90%之间，之间，3 3 级级 中等，答题正确率中等，答题正确率 70-80%70-80% ，4 4 级较难，答题正确率级较难，答题正确率 50-70%50-70%，5 5 级很难，答题正确率级很难，答题正确率 50%50%以下。答题正确以下。答题正确 率在率在 30%30%以下的题不要出。以下的题不要出。1、审核员到某公司进行 ITSMS 评审。公司的配置管理数据库中记录的一台交换机的型号为 SRW208-K9-CN 8 口百兆，审核员查看了交换机配置表，发现最新配置为 SF300-24（

24、SRW224G4）24 口百兆，系统管理员 说因为端口不够用，所以更换了交换机，但要等到下次做配置审计时才修改配置管理数据库中的该配置 项的信息。-_参考答案： 不符合 ISO/IEC 20000-1：2005 9.1，条款内容：“应管理 CMDB 以确保其可靠性和准确性。”不符合项事实：公司的配置管理数据库中记录的一台交换机的型号为 SRW208-K9-CN 8 口百兆，审核 员查看了交换机配置表，发现最新配置为 SF300-24（SRW224G4）24 口百兆。2、审核员从网络管理员那里了解到，FTP 服务器在最近 2 周的每天早上都会非预期的自动重启，网络管 理 员解释说不清楚原因，对工

25、作没有太大影响，也就没去管它。参考答案： 不符合 ISO/IEC 20000-1：2005 8.3 ，条款内容：“服务提供方应分析事件和问题的数据和趋势以 识别根本原因和潜在的预防措施”不符合项事实：查 FTP 服务器每天早上定期自动重启，但未能识别问题及其根本原因，并提出问题 的解决方案。3、审核员审核某公司时，从系统管理员那里了解到，上个月该公司将 OA 系统的由 3.0 版升级到了 4.0版，但查阅文档发现，只有发布计划，没有对该发布项进行测试。系统管理员解释说，OA 系统已经使用很多年了，一直很稳定没发生什么问题，没有必要测试了。参考答案： 不符合 ISO/IEC 20000-1：20

26、05，不符合条款：10.1“应建立受控的验收测试环境，以便在分发之前 对所有发布项进行测试”不符合项事实：公司对 OA 系统由 3.0 版升级到了 4.0 版，对该发布没有进行测试。4、审核员在现场审核时，发现项目部经理手中的信息技术服务管理手册为 V1.1 版，而文件控制清单中的信息技术服务管理手册为 V1.3 版。项目部经理解释说：信息技术服务管理手册内容没有变化，只是格式变了两次，不影响使用。参考答案：不符合 ISO/IEC 20000-1：2005，不符合条款：3.2 文件要求 “应建立、评审、批准、维护、处置和控制不同类型的文件和记录的程序和职责。” 不符合项事实：文件控制清单中的信

27、息技术服务管理手册与使用者使用的同一文件，版本不同。5、审核员在查阅事件记录时，发现一个一个月前的事件尚未解决，而顾客要求一周内解决；审核员询问对不能满足顾客要求的服务级别时怎么处理，二线经理回答：不需要什么特别的处理，他们也没催我们，也应该知道我们还没拿出解决方案，我们抓紧时间解决就可以了。参考答案：-_不符合 ISO/IEC 20000-1：2005 不符合 8.2 条“应及时通知付款有关他们所报告的事件或服务请求的进展情况，如果不能满足他们的服务级别，则应事先警告，并就此进行协商。”不符合项事实：“审核员询问对不能满足顾客要求的服务级别时怎么处理，二线经理回答：不需要什么特别的处理，他们

28、也没催我们。”6、审核员要求变更流程经理出示变更管理的证据，变更经理拿出了一沓纸，说：我们的变更记录都在这里。审核员抽取了三份变更请求，发现批准处都没有签字，变更经理解释说：这些变更都很紧急，来不及跟我说，他们先干了，我一般是在他们实施完变更以后集中补签字，我现在补上就可以了。审核员又问：那你们对突发的变更都怎么规定的。变更经理说：没有规定。参考答案：不符合 ISO/IEC 20000-1：2005 不符合 9.2“应批准变更，对其进行检查，并以受控方式实施。应具有控制突发变更的授权和实施的相应策略和过程”不符合项事实：“变更经理解释说：这些变更都很紧急，来不及跟我说，他们先干了，我一般是在他们实施完变更以后集中补签字，我现在补上就可以了。审核员又问：那你们对突发的变更都怎么规定的。变更经理说：没有规定。”