下载文档原格式
2023年第一期CCAA注册审核员ISMS信息安全管理体系复习题一、单项选择题1、信息安全管理中,以下哪一种描述能说明“完整性”()。
A、资产与原配置相比不发生缺失的情况B、资产不发生任何非授权的变更C、软件或信息资产内容构成与原件相比不发生缺失的情况D、设备系统的部件和配件不发生缺失的情况2、关于顾客满意,以下说法正确的是:()A、顾客没有抱怨,表示顾客满意B、信息安全事件没有给顾客造成实质性的损失,就意味着顾客满意C、顾客认为其要求己得到满足,即意味着顾客满意D、组织认为顾客要求己得到满足,即意味着顾客满意3、gb17859-1999提出将信息系统的安全等级划分为()个等级,并提出每个级别的安全功能要求A、2B、3C、5D、74、以下说法不正确的是()A、应考虑组织架构与业务目标的变化的风险评估进行再评审B、应考虑以往未充分识别的威胁对风险评估结果进行再评估C、制造部增加的生产场所对信息安全风险无影响D、安全计划应适时更新5、对于较大范围的网络,网络隔离是()A、可以降低成本B、可以降低不同用户组之间非授权访问的风险C、必须物理隔离和必须禁止无线网络D、以上都对6、风险识别过程中需要识别的方面包括:资产识别、识别威胁、识别现有控制措施、()A、识别可能性和影响B、识别脆弱性和识别后果C、识别脆弱性和可能性D、识别脆弱性和影响7、下列措施中,()是风险管理的内容。
A、识别风险B、风险优先级评价C、风险处置D、以上都是8、拒绝服务攻击损害了信息系统哪一项性能()A、完整性B、可用性C、保密性D、可靠性9、关于技术脆弱性管理,以下说法正确的是:()A、技术脆弱性应单独管理,与事件管理没有关联B、了解某技术脆弱性的公众范围越广,该脆弱性对于组织的风险越小C、针对技术脆弱性的补丁安装应按变更管理进行控制D、及时安装针对技术脆弱性的所有补丁是应对脆弱性相关风险的最佳途径10、关于GB/T22080-2016/ISO/IEC27001:2013标准,下列说法错误的是()A、标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求B、标准中所表述要求的顺序反映了这些要求要实现的顺序C、信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中D、信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性11、依据GB/T220802016/SO/EC.27001:2013标准,组织应()。
2021年9月CCAA国家注册审核员ISMS信息安全管理体系复习题一、单项选择题1、依据GB/T22080-2016/1SO/1EC.27001:2013标准,不属于第三方服务监视和评审范畴的是()。
A、监视和评审服务级别协议的符合性B、监视和评审服务方人员聘用和考核的流程C、监视和评审服务交付遵从协议规定的安全要求的程度D、监视和评审服务方跟踪处理信息安全事件的能力2、ISO/IEC27001所采用的过程方法是()A、PPTR方法B、SMART方法C、PDCA方法D、SWOT方法3、信息安全管理体系的设计应考虑()A、组织的战B、组织的目标和需求C、组织的业务过程性质D、以上全部4、保密协议或不泄露协议至少应包括:()A、组织和员工双方的信息安全职责和责任B、员工的信息安全职责和责任C、组织的信息安全职责和责任D、纪律处罚规定5、当发生不符合时,组织应()。
A、对不符合做出处理,及时地:采取纠正,以及控制措施;处理后果B、对不符合做出反应,适用时:采取纠正,以及控制措施:处理后果C、对不符合做出处理,及时地:采取措施,以控制予以纠正;处理后果D、对不符合做出反应,适用时:采取措施,以控制予以纠正;处理后果6、《信息安全等级保护管理办法》规定,应加强涉密信息系统运行中的保密监督检查对秘密级、机密级信息系统每()至少进行一次保密检查或系统测评A、半年B、1年C、1,5年D、2年7、管理员通过桌面系统下发IP、MAC绑定策略后,终端用户修改了IP地址,对其的处理方式不包括()A、自动恢复其IP至原绑定状态B、断开网络并持续阻断C、弹出提示街口对其发出警告D、锁定键盘鼠标8、拒绝服务攻击损害了信息系统哪一项性能()A、完整性B、可用性C、保密性D、可靠性9、依据GB/T29246,控制目标指描述控制的实施结果所要达到的目标的()。
B、声明C、想法D、描述10、下列()不是创建和维护测量要执行的活动。
A、开展测量活动B、识别当前支持信息需求的安全实践C、开发和更新测量D、建立测量文档并确定实施优先级11、管理者应()A、制定ISMS方针B、制定ISMS目标和专划C、实施ISMS内部审核D、确保ISMS管理评审的执行12、对于获准认可的认证机构,认可机构证明()A、认证机构能够开展认证活动B、其在特定范围内按照标准具有从事认证活动的能力C、认证机构的每张认证证书都符合要求D、认证机构具有从事相应认证活动的能力13、PKI的主要组成不包括()A、SSLB、CRC、CA14、依据GB/T22080/ISO/IEC27001中控制措施的要求,关于网络服务的访问控制策略,以下正确的是()A、网络管理员可以通过telnet在家里远程登录、维护核心交换机B、应关闭服务器上不需要的网络服务C、可以通过防病毒产品实现对内部用户的网络访问控制D、可以通过常规防火墙实现对内部用户访问外部网络的访问控制15、对于所有拟定的纠正和预防措施,在实施前应通过()过程进行评审。
2021年第二期CCAA注册审核员考试题目—ISMS信息安全管理体系一、单项选择题1、关于信息安全管理体系认证,以下说法正确的是()A、认证决定人员不宜推翻审核组的正面结论B、认证决定人员不宜推翻审核组的负面结论C、认证机构应对客户组织的ISMS至少进行一次完整的内部审核D、认证机构必须遵从客户组织规定的内部审核和管理评审的周期2、信息系统的变更管理包括()A、系统更新的版本控制B、对变更申请的审核过程C、变更实施前的正式批准D、以上全部3、系统备份与普通数据备份的不同在于,它不仅备份系统屮的数据,还备份系统中安装的应用程序、数据库系统、用户设置、系统参数等信息,以便迅速()。
A、恢复全部程序B、恢复网络设置C、恢复所有数据D、恢复整个系统4、组织应()A、定义和使用安全来保护敏感或关键信息和信息处理设施的区域B、识别和使用安全来保护敏感或关键信息和信息处理设施的区域C、识别和控制安全来保护敏感或关键信息和信息处理设施的区域D、定义和控控安全来保护敏感或关键信息和信息处理设施的区域5、口令管理系统应该是(),并确保优质的口令A、唯一式B、交互式C、专人管理式D、A+B+C6、《信息安全等级保护管理办法》规定,应加强涉密信息系统运行中的保密监督检查对秘密级、机密级信息系统每()至少进行一次保密检查或系统测评A、半年B、1年C、1,5年D、2年7、《信息安全管理体系认证机构要求》中规定,第二阶段审核()进行A、在客户组织的场所B、在认证机构以网络访问的形式C、以远程视频的形式D、以上都对8、在每天下午5点使计算机结束时断开终端的连接属于()A、外部终端的物理安全B、通信线的物理安全C、窃听数据D、网络地址欺骗9、关于GB/T22081-2016/ISO/IEC27002:2013,以下说法错误的是()A、该标准是指南类标准B、该标准中给出了IS0/IEC27001附录A中所有控制措施的应用指南C、该标准给出了ISMS的实施指南D、该标准的名称是《信息技术安全技术信息安全管理实用规则》10、—家投资顾问商定期向客户发送有关财经新闻的电子邮件,如何保证客户收到资料没有被修改()A、电子邮件发送前,用投资顾问商的私钥加密邮件的HASH值B、电子邮件发送前,用投资顾问商的公钥加密邮件的HASH值C、电子邮件发送前,用投资顾问商的私钥数字签名邮件D、电子邮件发送前,用投资顾问商的私钥加密邮件11、第三方认证审核时,对于审核提出的不符合项,审核组应:()A、与受审核方共同评审不符合项以确认不符合的条款B、与受审核方共同评审不符合项以确认不符合事实的准确性C、与受审核方共同评审不符合以确认不符合的性质D、以上都对12、《信息安全等级保护管理办法》规定,应加强涉密信息系统运行中的保密监督检查对秘密级、机密级信息系统每()至少进行一次保密检查或系统测评。
2022年6月CCAA国家注册审核员考试题目—ISMS信息安全管理体系知识一、单项选择题1、以下对GB/T22081-2016/IS0/IEC27002:2013标准的描述,正确的是()A、该标准属于要求类标准B、该标准属于指南类标准C、该标准可用于一致性评估D、组织在建立ISMS时,必须满足该标准的所有要求2、在ISO组织框架中,负责ISO/IEC27000系列标准编制工作的技术委员会是()A、ISO/IECJTC1SC27B、ISO/IECJTC13C40C、ISO/IECTC27D、ISO/IECTC403、系统备份与普通数据备份的不同在于,它不仅备份系统屮的数据,还备份系统中安装的应用程序、数据库系统、用户设置、系统参数等信息,以便迅速()。
A、恢复全部程序B、恢复网络设置C、恢复所有数据D、恢复整个系统4、数字签名可以有效对付哪一类信息安全风险?A、非授权的阅读B、盗窃C、非授权的复制D、篡改5、关于互联网信息服务,以下说法正确的是A、互联网服务分为经营性和非经营性两类,其中经营性互联网信息服务应当在电信主管部门备案B、非经营性互联网信息服务未取得许可不得进行C、从事经营性互联网信息服务,应符合《中华人民共和国电信条例》规定的要求D、经营性互联网服务,是指通过互联网向上网用户无尝提供具有公开性、共享性信息的服务活动6、关于访问控制,以下说法正确的是()A、防火墙基于源IP地址执行网络访问控制B、三层交换机基于MAC实施访问控制C、路由器根据路由表确定最短路径D、强制访问控制中,用户标记级别小于文件标记级别,即可读该文件7、虚拟专用网(VPN)的数据保密性,是通过什么实现的?()A、安全接口层(sSL,SecureSocketsLayer〉B、风险隧道技术(Tunnelling)C、数字签名D、风险钓鱼8、以下不属于信息安全事态或事件的是:A、服务、设备或设施的丢失B、系统故障或超负载C、物理安全要求的违规D、安全策略变更的临时通知9、《中华人民共和国密码法》规定了国家秘密的范围和密级,国家秘密的密级分为()。
ISO20000内审员考试试卷赛宝认证中心ITSMS内审员考试试题名字:分数:一、单项选择题(每题1.5分)1.事件管理程序运行一段时间后,为反应事件升级新的途径,事件经理想对事件管理程序文件进行修改,并得到IT服务管理委员会的同意,在这个过程中,审核员要优先考虑以下哪方面的审核:a)能力、意识和培训b)文件控制c)事件管理流程的设计更改d)事件管理流程与其他流程的接口2.关于可识别的服务和基础设施组件,配置管理不能提供以下机制:a)识别b)控制c)追溯版本d)变更3.获取客观证据的方式有:a)面谈b)观察c)审查文件d)以上都是4.下列描述中哪个不是成功实施ITSMS关键成功因素:a)管理层的支持与承诺b)安全政策反映企业商业目标c)遵守个人数据保护法d)提供适当的培训与教育5.IT服务管理是如何改善IT服务的质量的:a)以正式的内部、外部客户以及供应商的服务协议b)定义服务级别普遍适用的标准c)提高IT组织中所有员工的客户关注程度d)计划,实施,管理一系列流程以提供IT服务6.IT服务管理的目标是:a)可测量的b)是可量化的c)是能达到的d)a+c7.组织任命一名管理者代表,其主要职责是a)就IT服务管理体系事宜与外部联系b)代表最高管理者解决IT服务管理体系建立和运行中的一切问题c)确保IT服务管理体系和过程得到建立、实施和保持d)确保提高组织员工满足客户服务的意识8.哪个不是管理评审的输入;a)审核和评审的结果b)相关方的反馈信息c)纠正和预防措施的实施情况d)资源需求9.某公司为其图片设计工作间安装了内部局域网,因需要传输大体积的图片需要增加带宽,以上描述需要ISO/IEC20000:2005中哪个流程批准增加带宽的服务:a)能力管理b)变更管理c)可用性管理d)问题管理10.ISO/IEC20000:2005中IT服务预算及核算管理对哪项不做必须要求:a)为所有的组件进行预算和核算b)为服务制定收费标准c)有效财务控制与授权d)为每个交付的服务制定预期成本和实际成本二、问答题(每题5分)1.管理者应通过领导并采取措施开发、实施并改进服务管理能力以开展组织业务并满足客户要求的承诺提供证据,结合ISO20000标准,请说明管理者通过什么途径实现其管理职责。
2021年9月CCAA注册审核员考试题目—ISMS信息安全管理体系一、单项选择题1、依据GB/T22080-2016/1SO/1EC.27001:2013标准,不属于第三方服务监视和评审范畴的是()。
A、监视和评审服务级别协议的符合性B、监视和评审服务方人员聘用和考核的流程C、监视和评审服务交付遵从协议规定的安全要求的程度D、监视和评审服务方跟踪处理信息安全事件的能力2、以下对GB/T22081-2016/IS0/IEC27002:2013标准的描述,正确的是()A、该标准属于要求类标准B、该标准属于指南类标准C、该标准可用于一致性评估D、组织在建立ISMS时,必须满足该标准的所有要求3、下面哪一种功能不是防火墙的主要功能?A、协议过滤B、应用网关C、扩展的日志记录能力D、包交换4、在安全模式下杀毒最主要的理由是()A、安全模式下查杀病速度快B、安全模式下查杀比较彻底C、安全模式下查杀不连通网络D、安全模式下查杀不容易死机5、以下关于认证机构的监督要求表述错误的是()A、认证机构宜能够针对客户组织的与信息安全有关的资产威胁、脆弱性和影响制定监督方案,并判断方案的合理性B、认证机构的监督方案应由认证机构和客户共同来制定C、监督审核可以与其他管理体系的审核相结合D、认证机构应对认证证书的使用进行监督6、不属于WEB服务器的安全措施的是()A、保证注册帐户的时效性B、删除死帐户C、强制用户使用不易被破解的密码D、所有用户使用一次性密码7、依据GB/T22080/ISO/IEC27001,关于网络服务的访问控制策略,以下正确的是()A、网络管理员可以通过telnet在家里远程登录、维护核心交换机B、应关闭服务器上不需要的网络服务C、可以通过防病毒产品实现对内部用户的网络访问控制D、可以通过常规防火墙实现对内部用户访问外部网络的访问控制8、()可用来保护信息的真实性、完整性A、数字签名B、恶意代码C、风险评估D、容灾和数据备份9、拒绝服务攻击损害了信息系统哪一项性能()A、完整性B、可用性C、保密性D、可靠性10、根据《互联网信息服务管理办法》规定,国家对经营性互联网信息服务实行()A、国家经营B、地方经营C、许可制度D、备案制度11、造成计算机系统不安全的因素包括()。
2022年12月CCAA注册审核员复习题—ISMS信息安全管理体系知识一、单项选择题1、为确保采用一致和有效的方法对信息安全事件进行管理,下列控制措施哪个不是必须的?()A、建立信息安全事件管理的责任B、建立信息安全事件管理规程C、对信息安全事件进行响应D、在组织内通报信息安全事件2、GB/T22080标准中所指资产的价值取决于()A、资产的价格B、资产对于业务的敏感度C、资产的折损率D、以上全部3、()对于信息安全管理负有责任A、高级管理层B、安全管理员C、IT管理员D、所有与信息系统有关人员4、组织应在相关()上建立信息安全目标A、组织环境和相关方要求B、战略和意思C、战略和方针D、职能和层次5、应定期评审信息系统与组织的()的符合性。
A、信息安全目标和标准B、信息安全方针和策C、信息安全策略和制度D、信息安全策略和标准6、确保信息没有非授权泄密,即确保信息不泄露给非授权的个人、实体或进程其所用,是指()A、完整性B、可用性C、机密性D、抗抵赖性7、根据GB/T22080-2016标准的要求,组织()实施风险评估A、应按计划的时间间隔或当重大变更提出或发生时B、应按计划的时间间隔且当重大变更提出或发生时C、只需在重大变更发生时D、只需按计划的时间间隔8、关于顾客满意,以下说法正确的是:()A、顾客没有抱怨,表示顾客满意B、信息安全事件没有给顾客造成实质性的损失,就意味着顾客满意C、顾客认为其要求已得到满足,即意味着顾客满意D、组织认为顾客要求已得到满足,即意味着顾客满意9、由认可机构对认证机构、检查机构、实验室以及从事评审、审核等认证活动人员的能力和执业资格,予以承认的合格评定活动是()。
A、认证B、认可C、审核D、评审10、监督、检查、指导计算机信息系统安全保护工作是()对计算机信息系统安全保护履行法定职责之一A、电信管理机构B、公安机关C、国家安全机关D、国家保密局11、对于外部方提供的软件包,以下说法正确的是:()A、组织的人员可随时对其进行适用性调整B、应严格限制对软件包的调整以保护软件包的保密性C、应严格限制对软件包的调整以保护软件包的完整性和可用性D、以上都不对12、《信息安全管理体系认证机构要求》中规定,第二阶段审核()进行A、在客户组织的场所B、在认证机构以网络访问的形式C、以远程视频的形式D、以上都对13、组织应()。
2021年第一期CCAA注册审核员ISMS信息安全管理体系考试题目一、单项选择题1、当发现不符合项时,组织应对不符合做出反应,适用时()。
A、采取措施,以控制并予以纠正B、对产生的影响进行处理C、分析产生原因D、建立纠正措施以避免再发生2、信息安全管理中,以下哪一种描述能说明“完整性”()。
A、资产与原配置相比不发生缺失的情况B、资产不发生任何非授权的变更C、软件或信息资产内容构成与原件相比不发生缺失的情况D、设备系统的部件和配件不发生缺失的情况3、关于信息安全策略,下列说法正确的是()A、信息安全策略可以分为上层策略和下层策略B、信息安全方针是信息安全策略的上层部分C、信息安全策略必须在体系建设之初确定并发布D、信息安全策略需要定期或在重大变化时进行评审4、不属于计算机病毒防治的策略的是()A、确认您手头常备一张真正“干净”的引导盘B、及时、可靠升级反病毒产品C、新购置的计算机软件也要进行病毒检测D、整理磁盘5、审核抽样时,可以不考虑的因素是()A、场所差异B、管理评审的结果C、最高管理者D、内审的结果6、你所在的组织正在计划购置一套适合多种系统的访问控制软件包来保护关键信息资源,在评估这样一个软件产品时最重要的标准是什么?()A、要保护什么样的信息B、有多少信息要保护C、为保护这些重要信息需要准备多大的投入D、不保护这些重要信息,将付出多大的代价7、国家秘密的保密期限应为:()A、绝密不超过三十年,机密不超过二十年,秘密不超过十年B、绝密不低于三十年,机密不低于二十年,秘密不低于十年C、绝密不超过二十五年,机密不超过十五年,秘密不超过五年D、绝密不低于二十五年,机密不低于十五年,秘密不低于五年8、关于信息安全管理体系认证,以下说法正确的是:A、负责作出认证决定的人员中应至少有一人参与了审核B、负责作出认证决定的人员必须是审核组组长C、负责作出认证决定的人员不应参与审核D、负责作出认证决定的人员应包含参与了预审核的人员9、在考虑网络安全策略时,应该在网络安全分析的基础上从以下哪两个方面提出相应的对策?A、硬件和软件B、技术和制度C、管理员和用户D、物理安全和软件缺陷10、进入重要机构时,在门卫处登记属于以下哪种措施?()A、访问控制B、身份鉴别C、审计D、标记11、公司A在内审时发现部分员工计算机开机密码少于6位,公司文件规定员工计算机密码必须6位及以上,那么中哪一项不是针对该问题的纠正措施?()A、要求员工立即改正B、对员工进行优质口令设置方法的培训C、通过域控进行强制管理D、对所有员工进行意识教育12、信息安全管理体系是用来确定()A、组织的管理效率B、产品和服务符合有关法律法规程度C、信息安全管理体系满足审核准则的程度D、信息安全手册与标准的符合程度13、关于防范恶意软件,以下说法正确的是:()A、物理隔断信息系统与互联网的连接即可防范恶意软件B、安装入侵探测系统即可防范恶意软件C、建立白名单即可防范恶意软件D、建立探测、预防和恢复机制以防范恶意软件14、关于信息安全产品的使用,以下说法正确的是:()A、对于所有的信息系統,信息安全产品的核心技术、关鍵部件须具有我国自主知识产权B、对于三级以上信息系統,己列入信息安全产品认征目录的,应取得国家信息安全产品人证机构颁发的认证证书C、对于四级以上信息系銃、信息安全广品研制的主要技术人员须无犯罪记录D、对于四级以上信息系統,信息安全声品研制单位须声明没有故意留有或设置漏洞15、根据GB17859《计算机信息系统安全保护等级划分准则》,计算机信息系统安全保护能力分为()等级。
2024年8月CCAA注册审核员复习题—ISMS信息安全管理体系知识一、单项选择题1、组织应()A、采取过程的规程安全处置不需要的介质B、采取文件的规程安全处置不需要的介质C、采取正式的规程安全处置不需要的介质D、采取制度的规程安全处置不需要的介质2、最高管理者应()。
A、确保制定ISMS方针B、制定ISMS目标和计划C、实施ISMS内部审核D、主持ISMS管理评审3、《信息安全等级保护管理办法》规定,应加强涉密信息系统运行中的保密监督检查对秘密级、机密级信息系统每()至少进行一次保密检查或系统测评A、半年B、1年C、1,5年D、2年4、对于可能超越系统和应用控制的实用程序,以下做法正确的是()A、实用程序的使用不在审计范围内B、建立禁止使用的实用程序清单C、紧急响应时所使用的实用程序不需要授权D、建立、授权机制和许可使用的实用程序清单5、《信息技术安全技术信息安全管理体系实施指南》对应的国际标准号为()A、ISO/IEC27002B、ISO/IEC27003C、ISO/IEC27004D、ISO/IEC270056、相关方的要求可以包括()A、标准、法规要求和合同义务B、法律、标准要求和合同义务C、法律、法规和标准要求和合同义务D、法律、法规要求和合同义务7、()是风险管理的重要一环。
A、管理手册B、适用性声明C、风险处置计划D、风险管理程序8、《信息安全管理体系认证机构要求》中規定,第二阶段审核()进行A、在客户组织的场所B、在认证机构以网络访向的形式C、以远程视频的形式D、以上都対9、()是建立有效的计算机病毒防御体系所需要的技术措施。
A、补丁管理系统、网络入侵检测和防火墙B、漏洞扫描、网络入侵检测和防火墙C、漏洞扫描、补丁管理系统和防火墙D、网络入侵检测、防病毒系统和防火墙10、由认可机构对认证机构、检测机构、实验室从事评审、审核的认证活动人员的能力和执业资格,予以承认的合格评定活动是()A、认证B、认可C、审核D、评审11、为了达到组织灾难恢复的要求,备份时间间隔不能超过()。
2023年第二期月CCAA注册审核员ISMS信息安全管理体系考试题目一、单项选择题1、风险识别过程中需要识别的方面包括:资产识别、识别威胁、识别现有控制措施、()A、识别可能性和影响B、识别脆弱性和识别后果C、识别脆弱性和可能性D、识别脆弱性和影响2、组织应在相关()上建立信息安全目标A、组织环境和相关方要求B、战略和意思C、战略和方针D、职能和层次3、关于GB/T22081标准,以下说法正确的是:()A、提供了选择控制措施的指南,可用作信息安全管理体系认证的依据B、提供了选择控制措施的指南,不可用作信息安全管理体系认证的依据C、提供了信息安全风险评估的指南,是ISO/IEC27001的构成部分D、提供了信息安全风险评估的依据,是实施ISCVIEC27000的支持性标准4、根据《信息安全等级保护管理办法》,对于违反信息安全法律、法规行为的行政处罚中()是较轻的处罚方式A、警告B、罚款C、没收违法所得D、吊销许可证5、《信息技术安全技术信息安全治理》对应的国际标准号为()A、ISO/IEC27011B、ISO/IEC27012C、ISO/IEC27013D、ISO/IEC270146、()对于信息安全管理负有责任A、高级管理层B、安全管理员C、IT管理员D、所有与信息系统有关人员7、对全国密码工作实行统一领导的机构是()A、中央密码工作领导机构B、国家密码管理部门C、中央国家机关D、全国人大委员会8、下列关于DMZ区的说法错误的是()A、DMZ可以访问内部网络B、通常DMZ包含允许来自互联网的通信可进行的设备,如Web服务器、FTP服务器、SMTP服务器和DNS服务器等C、内部网络可以无限制地访问夕卜部网络以及DMZD、有两个DMZ的防火墙环境的典型策略是主防火墙采用NAT方式工作9、依据GB/T22080/IS0/IEC27001,关于网络服务的访问控制策略,以下正确的是()A、没有陈述为禁止访问的网络服务,视为允许访问的网络服务B、对于允许访问的网络服务,默认可通过无线、VPN等多种手段链接C、对于允许访问的网络服务,按照规定的授权机制进行授权D、以上都对10、安全区域通常的防护措施有()A、公司前台的电脑显示器背对来访者B、进出公司的访客须在门卫处进行登记C、重点机房安装有门禁系统D、以上全部11、—家投资顾问商定期向客户发送有关财经新闻的电子邮件,如何保证客户收到资料没有被修改()A、电子邮件发送前,用投资顾问商的私钥加密邮件的HASH值B、电子邮件发送前,用投资顾问商的公钥加密邮件的HASH值C、电子邮件发送前,用投资顾问商的私钥数字签名邮件D、电子邮件发送前,用投资顾问商的私钥加密邮件12、密码技术不适用于控制下列哪种风险?()A、数据在传输中被窃取的风险B、数据在传输中被篡改的风险C、数据在传输中被损坏的风险D、数据被非授权访问的风险13、加密技术可以保护信息的()A、机密性B、完整性C、可用性D、A+B14、信息分级的目的是()A、确保信息按照其对组织的重要程度受到适当级别的保护B、确保信息按照其级别得到适当的保护C、确保信息得到保护D、确保信息按照其级别得到处理15、描述组织采取适当的控制措施的文档是()A、管理手册B、适用性声明C、风险处置计划D、风险评估程序16、下列说法不正确的是()A、残余风险需要获得管理者的批准B、体系文件应能够显示出所选择的控制措施回溯到风险评估和风险处置过程的结果C、所有的信息安全活动都必须记录D、管理评审至少每年进行一次17、根据《中华人民共和国国家秘密法》,国家秘密的最高密级为()A、特密B、绝密C、机密D、秘密18、下列哪一种情况下,网络数据管理协议(NDM.P)可用于备份?()A、需要使用网络附加存储设备(NAS)时B、不能使用TCP/IP的环境时C、需要备份旧的备份系统不能处理的文件许可时中先创学D、要保证跨多个数据卷的备份连续、一致时19、关键信息基础设施的运营者采购网络产品和服务,应当按照规定与提供者签订()协议和保密义务与责任。
赛宝认证中心ITSMS内审员考试试题A姓名: ______________ 分数:________________一、单项选择题( 每题2分):1.下面哪句话最恰当地描述了ISO/IEC 20000 第一部分的规定内容?a)服务管理的最佳实践指南b)服务管理体系的要求c)协调服务管理的最佳运作模式d)保证高效运行服务管理体系的推荐方法2.以下哪句话最恰当地描述了ISO/IEC 20000对服务级别协议内容的定义?a)服务提供商必须满足的目标清单b)服务和商定的服务级别c)各方的角色和责任d)顾客对服务的详细要求3.问题管理所识别出的纠正基础设施错误的行动,将通过以下哪个流程来进行处理:a)问题管理b)事件和服务请求管理c)可用性管理d)变更管理4.何时需要制作配置基线?a)重大事件发生之前b)重大事件发生后立即制作c)作为服务连续性计划测试的一部分d)部署一个发布到真实环境之前5.需要使用哪个流程来管理违反安全性规定的情况?a)事件和服务请求管理b)问题管理c)服务级别管理d)服务连续性和可用性管理6.供方管理的目标是什么?a)管理供方以保证其收费最小化b)保证供方不会分包工作的任何部分c)管理与供方的关系,当供方不能满足合同要求时,实现合同向其它供方的转让d)管理供方以保证提供无缝、高质量的服务7.在什么情况下需要启动重大事件流程?a)当任何事件超过其目标解决时间时b)取决于服务提供商的策略和定义c)当事件影响到高管层时d)当事件明显影响到客户的业务时8.以下那句话最恰当地描述服务级别管理流程的目标?a)确保能以服务提供方可达到的最高的可用性级别交付服务b)持续评审服务级别以实现可能的最低成本c)定义、协商、记录和管理服务级别d)保证不合格项能够输入到服务改善计划之中9.在考虑评审服务连续性和可用性计划时,以下哪句话说出了要采取的措施?a)要在每个月进行评审和报告b)没有规定的周期,但必须在审计时进行评审c)需要每年在测试之后进行评审d)对其评审没有具体要求10.你不希望在事件和服务请求管理程序中出现以下哪些活动?a)事件的升级b)事件的优先级排序c)事件根本原因的识别d)能在第一线解决事件11.在能力计划中你不希望发现哪些方面?a)服务升级成本以支持能力要求b)服务级别协议的副本c)考虑新技术的潜在优势d)当前能力要求的细节12.以下哪个方面不是标准中涉及所有新的和变更服务的部署计划的特定要求?a)供方b)服务提供商c)利益相关者d)客户13.以下哪句话最恰当地描述在提出正规服务投诉方面标准的要求?a)任何时候如果客户要求升级,则将提出投诉b)每当事件超过目标解决时间,则将提出投诉c)将根据与具体客户之间的协议定义何时提出投诉d)服务提供商定义在什么情形对所有客户和服务提出投诉14.发布策略不包括a)发布的频率和类型b)发布管理的角色和责任c)发布的验证和接受d)发布不成功时所需的撤回行动15.下列哪些不是标准变更管理流程中的强制要求?a)变更管理控制下的CI定义b)确定可能对服务产生重大影响变更的标准c)每周变更日程安排d)归类变更的书面程序16.标准的第2部分与第1部分有何关联?a)第1部分是第2部分的子集,满足第2部分的要求一定满足第1部分b)第1部分包括第2部分中规定的主要要求c)第2部分需要完全实现才能满足第1部分的要求d)第2部分包含如何满足第1部分要求的指导17.下列哪项是ISO/IEC 20000定义的记录的最佳示例:a)服务连续性计划b)能力计划c)服务级别协议d)服务报告18.以下哪句话是服务改进计划需要包含内容的最佳描述?a)对服务管理体系的改进,但不是对服务的改进b)对整个服务的改进,但不是对服务管理系统的改进c)对服务和服务管理系统的改进d)没有具体要求19.维护所有纸质副本是ISO/IEC20000的一项要求吗?为什么?a)是的,为了保证可将其提供给审计师b)是的,这样始终会有备份副本c)不,文档可为任何形式或介质类型d)不,因为纸质副本很浪费20.在ISO/IEC20000内对管理体系的要求中,需要下列哪项来开展服务管理审查?a)注册认证机构b)主供应商c)咨询机构d)服务提供商的管理层21.以下哪句话是对第5节“设计和部署新的或变更的服务”目标的最佳描述?a)为保证新服务和变更的服务在约定的成本和服务质量上可交付和可管理b)为保证新服务和变更的服务的提议得到完全评估和授权c)为保证新服务和变更的服务的提议被完全估价d)为保证新服务和变更的服务的服务接受标准得到完全满足22.以下哪句话对需要在服务提供商和客户之间协商和记录的服务范围提供了最佳描述?a)服务提供商要同意向客户提供的服务b)服务提供商应决定将提供哪些服务c)客户应决定需要哪些服务d)服务应参照所有利益相关者的意见进行定义,包括主供应商23.以下哪句话是对服务连续性和可用性管理的目标的最佳描述?a)为保证服务连续性和可用性计划按照业务需要进行检测b)为保证潜在的服务连续性和可用性问题可被预测并采取预防行动c)为保证与客户商定的服务连续性和可用性承诺可在所有情况下得到满足d)为保证与客户商定的服务连续性和可用性要求在服务级别协议中得到完整定义和协商24.对于需要接受外部机构访问的管理信息系统和服务的服务提供方来说,如何管理安全控制措施?a)与外部机构记录并同意控制措施b)外部机构负责维护服务提供商信息的秘密、c)主供应商负责这种关系的安全性方面d)业务关系经理负责这种关系的安全性方面25.以下哪句话是对服务的预算和核算的目标的最佳描述?a)为保证服务成本降至最低b)为提供最佳的流程效率c)为了对服务提供的成本进行预算和核算d)为了保证服务提供所得收益最大26.以下哪句话是对信息安全性管理的目标的最佳描述?a)为保证商定的安全性政策被传达给所有员工b)为完整记载和管理安全性控制记录c)为保证安全性事件被记录下来并进行彻底调查d)为了在所有服务活动中有效地管理信息安全性27.谁需要参与客户和服务提供商之间的服务审核?a)只有业务关系流程经理和客户b)只有供应商和业务关系流程经理c)除了客户和其他利益相关者外没有特定要求d)两个机构的高管层28.当服务供应商的主供应商在使用分包供应商时,如果分包的供应商不能满足合同义务,谁应该对服务提供商负责?a)主供应商b)分包供应商c)服务提供商的合同经理d)服务提供商的业务关系经理29.当供应商所提供的服务到合同期末时,ISO/IEC 20000第一部分有何要求?a)服务提供商需要公开投标来续签合同b)合同应自动续期,除非对供应商所提供服务存在担心事项c)业务关系管理层应咨询客户来讨论替代方案d)合同中应该包括与预期服务结束相关的信息30.以下哪句话是对事件和服务请求管理的目标的最佳描述?a)为了通过分析事件的根本原因,最大程度降低业务中断b)为保证能以可能的最低成本解决事件c)为最大程度提高事件不通过问题管理流程即可解决的百分比d)为尽快恢复对企业约定的服务或对服务要求做出相应31.问题和事件之间的关系如何?a)多个事件始终会导致某个问题记录被打开b)单个事件永远不会造成某个问题记录被打开c)一个或多个事件可能造成某个问题记录被打开d)在目标时间内未能解决的事件将被转移到问题管理32.当识别出一系列行动来纠正问题的原因时,该建议应转移到哪个流程?a)投放和部署管理b)取决于是否涉及客户而有所不同c)变更管理d)仍然处于问题管理流程内33.以下哪句话是对配置管理的目标的最佳描述?a)为定义配置管理数据库的内容b)为保证每个配置项所记录的信息被准确定义c)为保证基线在投放到真实环境之前被完整定义d)为定义和控制服务和基础设施的组件,并且维护准确的配置信息34.以下哪句话是对CI配置管理将会具有的控制量的最佳描述?a)应足够满足服务完整性需要,考虑服务要求和与CI有关的风险b)应作为配置审计程序的一部分每年进行评估c)应与客户就具体的服务进行协商d)应由高级管理层决定该政策35.ISO/IEC 20000第一部分对应紧急变更有何要求?a)紧急变更不应在正常服务时间内安装b)应由变更顾问委员会开会批准紧急变更c)紧急变更应尽快进行处理,在部署到真实环境之前不需要测试d)应有管理紧急变更的程序36.以下哪句话是对发布和部署管理的目标的最佳描述?a)为交付、分发和跟踪发布中的一个或多个变更进入真实环境b)为保证所有经批准的变更在投放到真实环境之前都经过测试c)为保证在发布进入真实环境之前完成验收测试d)为了以受控的方式将变更交付到真实环境中的现有服务中37.当服务提供商希望证明符合ISO/IEC的要求时,以下哪句话是关于流程方面的正确说法?a)所有被识别出的流程都要到位,但其中部分要求实现起来过于昂贵则可忽略b)所有被识别出的流程和要求都必须实施c)对于不同类型的服务提供商来说,某些流程要比另一些流程重要,根据服务提供商的类型不同可忽略部分要求d)与持续改进相关的流程是可选的,但所有其他流程都是必须的38.多少个一般不符合项构成严重不符合?a)两个b)四个c)两者完全不同,彼此之间没有关系d)这种区别没有正式定义,取决与具体的环境39.事件管理流程可以从哪份文档获得有关何时有必要将事件升级的信息?a)服务改进计划b)服务目录c)组织结构图d)服务级别协议40.当某个软件包的最新版本被安装到某个台式机时,它可能会影响其它软件包。
哪个流程负责检查和判断其它软件包是否有必要测试或者重新安装?a)变更管理b)IT服务持续性管理c)问题管理d)发布和部署管理二、多项选择题( 每题3分):1.以下哪句话不符合第1部分的要求?a)几项有资深技术专家负责的变更在实施前没有经过测试b)由于技术原因,访问CMDB数据库时必须在服务提供方的主数据中心才能访问c)安装供应厂家发布的补丁包,因厂家已经测试过了而没有经过测试d)本次内部审计计划没有针对变更流程的审计2.你正在审计的服务提供商将其服务台外包给第三方供应商,以下哪些方面需要到位?a)供应商采购程序b)关键流程衡量标准的定义c)供方管理流程d)事件和服务请求管理流程的负责人3.在为服务进行预算和核算时,除了服务资产以外还需要包括以下哪些方面?a)共享资源b)开销c)外部提供的服务d)人员工资4.需要描述每一个服务报告。
在这个描述中需要特别包含以下哪类信息?a)报告的标识b)报告的频率c)报告发起者的姓名d)使用的数据源5.应根据以下哪个方面识别服务连续性和服务可用性要求?a)服务级别协议b)风险评估c)商业计划d)服务要求6.以下哪些方面需要作为服务报告的一部分进行报告?a)预算b)趋势c)满意度分析d)不符合7.以下论述错误的是:a)最高管理者指在最高层指挥和控制服务并确定服务要求的一个人或一组人;b)服务提供方的需求也可以属于服务要求;c)当一个事件不能按照服务级别协议的约定被解决时,需要将它记录为问题,转有问题管理过程解决;d)SMS内部的开发团队、作为二线支持人员的服务器团队、数据库团队都属于内部团体。
