信息技术服务和信息安全内审员试卷(参考答案)(1)

1/8信息技术服务和信息安全管理体系内审员培训试卷答题纸参考答案2/8一、选择题（共30题，每题2分，总60分）1)下面哪句话最恰当描述了IT服务管理？A.经济有效地管理IT服务的质量B.根据ITIL最佳实践进行IT基础设施的管理工作C.以流程的方式管理IT基础设施。这种方式可让IT组织能够以专业的方式为客户提供IT产品和服务D.促进更多的人了解IT服务2)IT服务管理是如何改善IT服务的质量的。A.以正式的内部、外部客户以及供应商的服务协议B.定义服务级别普遍适用的标准C.提高IT组织中所有员工的客户关注程度D.计划、实施、管理一系列流程以提供IT服务3)硬件、系统和应用软件以及数据通讯设施都是IT基础架构（ITinfrastructure）的组成部分。下面哪些组件也可以被视为IT基础架构的一部分？1程序2文档3人员A.1和2B.1和3C.2和3D.1，2和34)事件管理流程可以从哪份文档获得有关何时有必要将问题升级和将问题升级给谁等方面的信息？A.服务改进计划B.服务目录C.组织结构图D.服务级别协议5)考虑下列说法：1.SLA应该定义协议双方的角色和职责2.对SLA的实现情况应该进行监控，定期制作服务级别报告并报送相关人员3.在SLA签订之前应该对支撑合同进行评审A.没有一个是正确的B.1和2是正确的C.2和3是正确的D.上述三个说法都是正确的6)在某个保险公司里，由于电力的中断导致局域网和所有PC都宕机了。因此，该公司的业务受理系统和理赔系统都不能正常使用。一个小时后，电力中断的故障被解决了，服务也恢复至电力中断之前的状态。该事件对服务提供造成了哪种影响？3/8A.影响很小，因为在一个小时内客户就被告知电话通知可以继续办理业务了，并且客户对这种情况表示理解。B.影响重大，因为该事件使得正常的服务提供不能实现。这对公司的形象造成了损害。C.没有影响，因为所有的数据都可以先记录在纸质文档上并可以在电力恢复后在录入系统。D.影响非常小，因为该事件是由电力故障而不是硬件或软件错误引起的。7)以下哪一项是IT服务持续性管理流程的典型活动？A.通知终端用户有关系统故障方面的情况B.将后备方案（FallbackArrangement）文档化C.提供可用性方面的报告D.确保配置项始终是最新的8)某钢铁公司被竞争对手兼并。IT部门以及两个公司的IT基础架构需要整合，IT基础架构整合后运行应用程序所需要的磁盘空间将由下列哪项流程决定。A.可用性管理B.能力管理C.计算机操作管理D.发布管理9)关于IT服务持续性计划，某个灾难的严重程度取决于：A.灾难持续的天数B.恢复灾难可用的人员数量C.灾难的类型，如洪水、火灾等D.对客户业务的影响10)因对信息系统的依赖逐渐增强，某房地产公司要求确保系统运行发生中断后仍可获得IT服务。下面哪个流程可提供这样的服务。A.可用性管理B.持续性管理C.服务级别管理D.服务管理11)下面哪些属于可用性管理的首要职责？1.计划在SLA中约定的IT服务的可用性并进行监控2.就SLA中的可用性级别与客户进行谈判3.记录不可用事件的详细情况4.提出变更以预防有损可用性的故障A.1和2B.3和4C.所有的都正确D.1和44/812)可用性百分率的计算公式为：A.（宕机时间*100）/约定服务时间B.（约定服务时间*100）/宕机时间C.（（约定服务时间-宕机时间）*100）/约定服务时间D.约定服务时间/（约定服务时间-宕机时间）13)某企业针对某项特定的IT服务没有任何持续性计划，下面哪个将是合适的理由？A.IT部门不具备开发持续性计划的技巧和能力B.IT部门业务灾难的风险是很少的C.业务方的相关人员没有时间参与开发持续性计划D.在进行业务影响评估之后所作出的管理决策14)概念不属于IT服务的预算及核算管理？A.预算编制B.计费C.采购D.核算15)网络部门与外部组织就提供内部服务方面达成协议，将在何处说明此协议？A.运营级别协议B.服务级别协议C.服务级别需求D.支持合同16)下面关于IT服务的预算及核算管理表述中哪一项是不正确的？A.IT服务财务经理需要负责确认和计量IT成本并为所提供的IT服务制定价格B.为了能够建立IT服务预算和核算体系，应该先签订SLA和OLAC.只有当对客户使用的服务进行计费时才有可能提高成本意识D.IT服务的预算及核算管理必须在建立成本核算模型之前与客户就收费问题达成协议17)哪个流程负责为需求中的IT服务的购买事宜制定（长期）计划？A.可用性管理B.能力管理C.配置管理D.服务级别管理18)保密性是安全管理流程要实现的目标之一。以下哪项正确地说明了“保密性”这个术语的含义？A.对数据的保护以防止未经授权的访问和使用B.随时访问数据的能力C.验证数据正确性的能力D.数据的正确性5/819)你是某个IT组织中的服务台人员。有一个用户呼叫电话说它的某个终端设备不能使用了。请问这是一个？A.事件B.已知错误C.问题D.变更请求20)一个良好的事件管理流程将可以：A.确保错误的修改像处理紧急变更一样进行处理B.快速地诊断事件发生的潜在原因C.在事件发生后尽快地恢复正常的服务运作D.以上三项都是21)下列哪项活动属于的职责？A.变更在基础架构中的应用B.检测事件产生的原因C.识别事件背后的潜在问题D.事件的排除22)由于产品本身的问题，用户现有的声卡被一块新的声卡替换。为方便以后参考，需对这块由另外一个制造厂商生产的新声卡进行登记。请问这项工作应由哪个流程负责执行？A.变更管理B.配置管理C.事件管理D.问题管理23)“已知错误（KnownError）”与“问题”在ISO20000中的不同之处表现在哪些方面？A.导致已知错误的潜在原因是已知的，而导致问题的潜在原因是未知的B.已知错误与IT基础架构中出现的错误有关，而问题则与其无关C.已知错误通常某个事件，而问题则不完全是这样的D.对问题而言，与其有关的配置项已经发现和确认，而与已知错误有关的配置项通常仍未发现24)以下哪项活动属于主动问题管理？A.处理变更请求（RFC）B.进行趋势分析，发现潜在的事件的问题C.跟踪所有的事件和服务中断D.尽量减少由于IT环境的变更而造成的服务中断6/825)某公司财务管理数据只能提供给授权的用户，安全管理采取措施来确保这点。这样做可以确保数据的哪个方面的安全性得到保证？A.可用性B.完整性C.稳定性D.机密性26)一个用户向服务台抱怨说，当他使用某个应用系统的时候，有一个错误总是反复地出现，从而导致网络连接的中断。下面哪个流程负责检测该错误产生的原因？A.事件管理B.网络管理C.问题管理D.系统开发27)当某个软件包的最新版本被安装到某个台式机时，它可能会影响其它软件包。哪个流程负责检查和判断其它软件包是否有必要测试或者重新安装？A.变更管理B.IT服务持续性管理C.问题管理D.发布管理28)以下哪项变更必须经变更管理流程批准后才能实施？A.用户录入数据到数据库中B.改变密码C.给系统增加一位新用户D.将打印机从二楼移到三楼29)配置管理数据库（CMDB）中的哪个属性有助于查明某个时刻的哪些配置项正在进行维护？A.购买日期B.责任人（Owner）C.位置D.状态30)下列哪项是配置基线？A.配置管理数据库中的标准配置B.标准配置项的描述C.以交付的一系列配置项D.有关一项产品或服务的“快照”，以作为配置审计和变更回撤的基准三、简答题（答案请填在答题纸相应区域内，每个5分，共计10分）7/81、最高管理者通过哪些活动证明其关于信息安全管理体系的领导作用和承诺？最高管理层应通过以下活动，证实对信息安全管理体系的领导和承诺：a)确保建立了信息安全策略和信息安全目的，并与组织战略方向一致；b)确保将信息安全管理体系要求整合到组织过程中；c)确保信息安全管理体系所需资源可用；d)沟通有效的信息安全管理及符合信息安全管理体系要求的重要性；e)确保信息安全管理体系达到预期结果；f)指导并支持相关人员为信息安全管理体系的有效性做出贡献；g)促进持续改进；h)支持其他相关管理角色，以证实他们的领导按角色应用于其责任范围。2.ISO20000要求服务供应商编制服务报告，请问服务报告包括哪些方面的内容？服务目标以及服务目标针对的对象；服务的内容；总结服务内容；分析服务的趋势；对以后的一个改进措施期望要求四、简述题（答案请填在答题纸相应区域内，每个10分，共计20分）1.请描述在贵单位实施ISO27001/ISO20000的意义。实施ISO20000能提高公司整体效益:1.就服务质量和服务承诺与业务及供货商达成一致，建立和业务及供货商统一的沟通平台（服务台)；达到相关利益方均满意的IT服务管理目标；2.进一步提高IT服务的可用性、完整性和保密性，为业务用户提供高质量的服务；3.能够有持续性优化服务流程，提升服务水平，提高业务满意度；4.进一步提高项目的可提供性并确保如期交付；5.从总体上提高企业IT投资的报酬率，提升企业的综合竞争力；6.建立IT部门一整套行之有效的持续改善机制和内控机制；8/87.明确IT管理成本和企业业务战略以及IT战略目标的结合点，完善现有IT服务结构和资源配置，使各项IT资源的运用符合公司业务。实施ISO20000战略和IT战略目标:1.通过建立优化、透明的管理流程和权责的定义，监控管理流程、进行绩效评价；降低IT运营的管理成本和风险；2.将现有管理体系和业务流程整合，规范IT部门服务水平，规范工作流程，降低由人员变动导致的风险；3.提高IT部门相关员工的专业素质，提高员工的服务能力和工作效率；4.提升IT部门整体运作及各部门间沟通的能力。2、标准关于风险有哪些管理要求？略