2022年6月信息技术服务管理体系审核员考试试题及答案解析(审核部分).docx

CCAA信息安全治理体系审核员考试审核学问与技能姓 名：身份证号：单位名称：考试日期：年月日类别单项选择多项选择题阐述题案例分析题总得分得分题阅卷人签字备注复核人签字备注一、单项选择题（从下面各题选项中选出一个最恰当的答案，并将相应字母填在下表相应位置中。每题1 分，共40分。）题号1234567891011121314151617181920答案BDCABCDBADBACBDACADA题号2122232425262728293031323334353637383940答案BDBDDBCDADBADCBBCCDA题号12345考点4. 1a4. 1a4. 1a4. 1a4. 1a难度34332题号678910考点4. 1a4. 1a4. 1a4. 1a4. 1a难度333333题号1112131415考点4. 1a4. 1a4. 1a4. 1a4. 1a难度32323题号1617181920考点4. 1a4. 1a4. 1a4. 1a4. 1a难度33433题号2122232425考点4. 1b4. 1b4. 1b4. 1b4. 1c难度33333题号2627282930考点4. 2a4. 2a4. 2b4. 2b4. 2b难度33333题号3132333435考点4. 2b4. 2b4. 2b4. 2b4. 2b难度33333题号3637383940考点4.34.34.34.34.3难度34333备注：考点描述按考试大纲的编号给出，其中标准要求局部再添加标准条款号见上面例子难度按5级划分，1级很简洁，答题正确率90%以上，2级较简洁，答题正确率80-90%之间，3级 中等，答题正确率70-80% , 4级较难，答题正确率50-70%, 5级很难，答题正确率50%以下。答题正确 率在30%以下的题不要出。进展状况，假设不能满足他们的效劳级别，则应事先警告，并就此进展协商。” 不符合项事实：“审核员询问对不能满足顾客要求的效劳级别时怎么处理，二线经理答复：不需要什么特别的处理，他们也没催我们。”6、审核员要求变更流程经理出示变更治理的证据，变更经理拿出了一沓纸，说：我们的变更记录都在这 里。审核员抽取了三份变更恳求，觉察批准处都没有签字，变更经理解释说：这些变更都很紧急，来不及 跟我说，他们先干了，我一般是在他们实施完变更以后集中补签字，我现在补上就可以了。审核员又问： 那你们对突发的变更都怎么规定的。变更经理说：没有规定。参考答案： 不符合ISO/IEC 20220-1 : 2022不符合9.2 "应批准变更，对其进展检查，并以受控方式实施。应具 有掌握突发变更的授权和实施的相应策略和过程”不符合项事实：“变更经理解释说：这些变更都很紧急，来不及跟我说，他们先干了，我一般是在他 们实施完变更以后集中补签字，我现在补上就可以了。审核员又问：那你们对突发的变更都怎么规定 的。变更经理说：没有规定。”1 . 对于目标不确定性的影响是。A.风险评估B.风险C.不符合D.风险处置.治理体系是。A.应用学问和技能获得预期结果的本领的系统B.可引导识别改进的时机或记录良好实践的系统C.对实际位置、组织单元、活动和过程描述的系统D.建立方针和目标并实现这些目标的体系.审核的特征在于其遵循。A.充分性、有效性和适宜性B.非营利性C.假设干原则D.客观性.审核员在 应保持客观性。A.整个审核过程B.全部审核过程C.完整审核过程D.现场审核过程.假设审核目标、范围或准则发生变化，应依据修改审核方案。A.顾客建议B.需要C.认可标准D.认证程序. 在审核过程中，消灭了利益冲突和力量方面的问题，审核组的可能有必要加以调整。A.审核员和技术专家B.审核组长和审核员C.规模和组成D.实习审核员.从审核开头直到审核完成，都应对审核的实施负责。A.治理者代表B.审核方案人员C.认证机构D.审核组长.当审核不行行时，应向审核托付方提出并与受审核方协商全都。A.合理化建议B.替代建议C.终止建议D.调整建议.文件评审应考虑受审核方治理体系和组织的规模、性质和简单程度以及审核的A.目标和范围B.方针和目标C.方案和打算D.标准和法规10 .在编制审核打算时，审核组长不应考虑以下方面A.适当的抽样技术B.审核组的组成及其整体力量C.审核对组织形成的风险D.企业文化.对于初次审核和，审核打算的内容和详略程度可以有所不同。A.监视审核、内部审核和外部审核B.随后的审核、内部审核和外部审核C.监视审核、再认证审核和例外审核D.预审核、一阶段审核和二阶段审核12.假设在审核打算所规定的时间框架内供给的文件，审核组长应告知审核方案治理人员和受审核方。A.不适宜、不充分B.不是最版本C.未经过审批D.不完整、不准确13.观看员应担当由审核托付方和受审核方与安康安全、保安和保密相关的义务。A.规定的B.法定的C.商定的D.确定的14.只有能够信息方可作为审核证据。A.确认的B.验证的C.证明的D.可追溯的15.当审核打算有规定时，具体的审核觉察应包括具有、改进时机以及对受审核方的建议。A.证据支持的审核证据B.可以验证的记录或事实陈述C.经过确认的审核记录D.证据支持的符合事项和良好实践16.假设审核打算中有规定，审核结论可提出改进的或今后审核活动的。A.建议建议B.方法方法C.途径途径D.步骤步骤.对于另一些状况，例如内部审核，末次会议，只是沟通审核觉察和审核结论。A.可以不进展B.必需进展C.可以不太正式D.可以不以会议形式.审核的完成。A.当全部筹划的审核活动已经执行或消灭与审核托付方商定的情形时例如消灭了阻碍完成审核打算的非预期情形，审核即告完成B.当受审核方获得认证证书时，审核即告完成word完善整理版C.当审核组长提交审核报告时，审核即告完成D.当受审核方不符合项整改完成后，审核即告完成.从审核中获得的应作为受审核组织的治理体系的持续改进过程的输入。A.整改措施 B.不符合项 C.合理化建议 D.阅历教训.审核员应在从事审核活动时呈现。A.职业素养 B.学问技能 C.专业技能 D.文化素养. ITSMS认证机构应确保客户组织通过其（）以及其他适用的方面清楚界定其ITSMS的范围和边界。A.所供给的效劳、交付效劳的地点、效劳供给所用的技术B.组织单元、所供给的效劳、交付效劳的地点、效劳供给所用的技术C.针对每个客户组织建立审核方案，并对该审核方案进展治理D.宜说明拟在审核中使用的远程审核技术.适用时，客户组织应在递交认证申请时指明（ ）在ITSMS范围内的效劳活动。 A.完全不包含 B.不包含 C.局部包含 D.不完全包含22 . ITSMS认证机构宜依据已获证客户组织ITSMS的变化对已有的力量需求分析结果进展审查和必要的 A.升级 B,更 C.修订 D.变换.远程审核技术，例如，会议、网络会议、基于网络的互动式沟通和 访问ITSMS文件和或ITSMS过程等方式。 A.远程通信 B. VPN技术 C.电子邮件 D.远程电子.计算机机房应当符合国家标准和国家有关规定。A.不得在计算机机房四周施工 B.获得许可方可在计算机机房四周施工 C.在计算机机房四周施工，应做好安全防护 D.在计算机机房四周施工，不得危害计算机信息系统的安全.在规定时刻或规定时间段内，部件或效劳执行要求功能的力量是。A.连续性 B.可用性 C.基线 D.公布.效劳供给方与客户之间签署的、描述效劳和商定效劳级别的协议是。A. CMDBB. OLAC. SLAD. MTTR.在进入实际运行环境之前，效劳或变更的效劳应由（）进展验收。A.相关方B.供给商C.顾客D.效劳供给方.与相应效劳级别一起供给的整体效劳范围，应由相关方进展协商并记录。A.目标和工作量特性B.打算和工作量特性C.方案和指标特性D.水平和指标特性30.可用性和效劳连续性的需求应包括，以及系统部件的端对端可用性。A.联系人清单和配置治理数据库B.全部的连续性测试C.不行用性D.访问权和响应次数31.效劳供给方应监视并报告预算的支出，（）,从而治理支出。A.评审财务本钱B.评审财务预报C.有效的财务掌握和授权D.通过变更治理过程来对效劳财务变更进展估价和批准.全部正式的效劳投诉应由效劳供给方进展，并调查缘由，实行措施，予以报告并正式关闭。A.记录B.确认C.评估D.分析.应准时通知有关他们所报告的大事或效劳恳求的进展状况。A.效劳供给方B.修理方C.相关方D.客户. 配置治理应供给识别、掌握与追踪效劳和根底设施的版本的机制。A.可识别组件B.配置项C.可识别部件D.系统35.应变更记录，以检查变更的增长程度、频繁重现的类型、呈现的趋势和其他相关信息。A.不定期分析B.定期分析C.准时分析D.依据需求分析.数字签名包括。A.签署过程B.签署和验证两个过程C.验证过程D.以上答案都不对.信息系统安全等级保护是指。A.对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系 统分等级实行安全保护。B.对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系 统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级治理。C.对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系 统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级治理，对信息系统中发生的信息 安全大事分等级响应和处置。D.对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系 统分等 级实行安全保护，对信息系统中发生的信息安全大事分等级响应和处置。36 .有时候我们需要临时离开计算机，但常常又会遗忘了锁定系统时，可 以设置口令。A. CMOSB.系统账户登录C.屏保锁定D.锁定39.假设word文件设置的是“修改文件时的密码“，那么翻开该文档时假设不输入密码，就会。 A.以一般方式翻开文档，允许对文件修改B.不能翻开文档C.不断消灭提示框，直到用户输入正确密码为止D.以只读的方式翻开文档40.选择操作系统输入法可按以下哪个组合键（）A. Ctrl+ShiftB. Ctrl+AltC. Ctrl+空格键D. Sh i ft+A 11二、多项选择题（从下面各题选项中选出一个或多个恰当的答案，并将相应字母填在下表相应位置中。每 题2分，共10分。）题号12345答案ABCDABCABDBCDBCD题号12345考点4. 1a4. 1a4. 2b4. 2b4.3难度33433备注：考点描述按考试大纲的编号给出，其中标准要求局部再添加标准条款号见上面例子难度按5级划分，1级很简洁，答题正确率90%以上，2级较简洁，答题正确率80-90%之间，3级 中等，答题正确率70-80% , 4级较难，答题正确率50-70%, 5级很难，答题正确率50%以下。答题正确 率在30%以下的题不要出。1 .审核打算应包括或涉及以下内容（）A.审核范围，包括受审核的组织单元、职能单元以及过程B.实施审核活动的地点、日期、预期的时间和期限，包括与受审核方治理者的会议C.为审核的关键区域配置适当的资源D.确保所筹划的审核活动能够实施.首次会议的目的是（）A.确认全部有关方例如受审核方、审核组对审核打算的安排达成全都B.介绍审核组成员C.确保所筹划的审核活动能够实施D.针对实现审核目标的不确定因素而实行的特定措施.效劳供给方应实施效劳治理打算，以治理并交付效劳，包括（）A.角色和职责的安排B.团队的治理，例如，补充并培育适当的人员，对人员的连续性进展治理C.整个组织的改进或多个过程的改进D.包括效劳台和效劳运行组在内的团队的治理.效劳供给方应与企业对（）和硬件的公布进展筹划A.组件B.效劳C.软件D.系统. TCP/1P层次构造有哪些组成？A.链路层B.应用层C.网络层和网络接口层D.传输层二、简述题每题10分，共20分题号12考点4. 2b4. 1a难度43备注：考点描述按考试大纲的编号给出，其中标准要求局部再添加标准条款号见上面例子.难度按5级划分，1级很简洁，答题正确率90%以上，2级较简洁，答题正确率80-90%之间，3级 中等，答题正确率70-80% , 4级较难，答题正确率50-70%, 5级很难，答题正确率50%以下。答题正确 率在30%以下的题不要出。1、审核员在工程部查看了去年的大事治理记录共20项，其中有17项已经依据程序要求，进展了业务影 响分析、分类、更、升级、解决和正式关闭。但有3项大事没有正式关闭，审核员据此开了不符合项，并 完毕了此项的审核。这样的审核是否符合要求？为什么？假设请您去审核，您会怎么做？参考答案说明，答案要点，应简洁，但要留有敏捷性，不能只是固定描述不符合要求，由于没有准时通知客户有关他们所报告的大事或效劳恳求的进展状况。假设我去审核，我将按以下思路1）是否对这3项大事进展了业务影响分析、分类；2）针对需要更或升级的工程是否实施；3）是否准时通知客户有关他们所报告的大事或效劳恳求的进展状况；4）假设不能满足他们的效劳级别，是否事先警告，并且就此进展了协商等。评分：第一问答复正确得2分，其次问答复正确得3分，第三问以是否准时通知客户有关他们所报告的大 事或效劳恳求的进展状况为核心答复，得4分，第四问答复正确得1分2、审核员在审核上一次的内部审核报告时，觉察这次内审开了 10项不符合项，其中有3项不符合项的受 审核部门未签字确认。就问迎审人员对这3项未确认的不符合项如何处置。迎审人员说：最近工程很忙， 没有来得及处置，等忙完这一阵子就对这3项不符合项进展分析缘由，制定订正措施。他这样处置，您认 为是否遗漏了哪些内容？参考答案说明，答案要点，应简洁，但要留有敏捷性，不能只是固定描述不符合要求，缘由如下：1）对不符合是否进展分级；2）是否与受审核部门一起评审不符合，以获得成认，并确认审核证据的准确性，使受审核部门理解 不符合；3）是否努力解决对审核证据或审核觉察有分歧的问题，并记录尚未解决的问题。评分：第一问答复正确得2分，其次问答复正确得4分，第三问答复正确得4分四、案例分析题每题5分，共30分备注：考点描述按考试大纲的编号给出，其中标准要求局部再添加标准条款号见上面例子题123456考 点4. 2 b/9. 14. 2b/8. 34. 2b/10. 14. 2b/3. 24. 2b/8. 24. 2b/9. 2难 度433334难度按5级划分，1级很简洁，答题正确率90%以上，2级较简洁，答题正确率80-90%之间，3级 中等，答题正确率70-80% , 4级较难，答题正确率50-70%, 5级很难，答题正确率50%以下。答题正确 率在30%以下的题不要出。1、审核员到某公司进展ITSMS评审。公司的配置治理数据库中记录的一台交换机的型号为SRW208-K9-CN 8 口百兆，审核员查看了交换机配置表，觉察最配置为SF300-24SRW224G424 口百兆，系统治理员说由于 端口不够用，所以更换了交换机，但要等到下次做配置审计时才修改配置治理数据库中的该配置项的 信息。参考答案： 不符合ISO/IEC 20220-1: 2022 9. 1,条款内容：“应治理CMDB以确保其牢靠性和准确性。”不符合项事实：公司的配置治理数据库中记录的一台交换机的型号为SRW208-K9-CN 8 口百兆，审核 员查看了交换机配置表，觉察最配置为SF300-24SRW224G424 口百兆。2、审核员从网络治理员那里了解到，FTP效劳器在最近2周的每天早上都会非预期的自动重启，网络治理 员解释说不清楚缘由，对工作没有太大影响，也就没去管它。参考答案： 不符合IS0/IEC 20220-1: 2022 8.3 ,条款内容：“效劳供给方应分析大事和问题的数据和趋势以识 别根本缘由和潜在的预防措施”不符合项事实：查FTP效劳器每天早上定期自动重启，但未能识别问题及其根本缘由，并提出问题的 解决方案。3、审核员审核某公司时，从系统治理员那里了解到，上个月该公司将0A系统的由3.0版升级到了 4.0版，但 查阅文档觉察，只有公布打算，没有对该公布项进展测试。系统治理员解释说,0A系统已经使用很多年了, 始终很稳定没发生什么问题，没有必要测试了。参考答案： 不符合IS0/IEC 20220-1: 2022,不符合条款：10. 1 “应建立受控的验收测试环境，以便在分发之前 对全部公布项进展测试” 不符合项事实：公司对0A系统由3.0版升级到了 4.0版，对该公布没有进展测试。4、审核员在现场审核时，觉察工程部经理手中的信息技术效劳治理手册为V1.1版，而文件掌握清单中的信息技术效劳治理手册为V1.3版。工程部经理解释说：信息技术效劳治理手册内容没有变化，只是格式变了两次，不影响使用。参考答案： 不符合ISO/1 EC 202207: 2022,不符合条款：3.2文件要求“应建立、评审、批准、维护、处置和 掌握不同类型的文件和记录的程序和职责。” 不符合项事实：文件掌握清单中的信息技术效劳治理手册与使用者使用的同一文件，版本不同。5、审核员在查阅大事记录时，觉察一个一个月前的大事尚未解决，而顾客要求一周内解决；审核员询问对不能满足顾客要求的效劳级别时怎么处理，二线经理答复：不需要什么特别的处理，他们也没催我们，也应当知道我们还没拿出解决方案，我们抓紧时间解决就可以了。参考答案： 不符合ISO/IEC 20220-1 : 2022不符合8. 2条“应准时通知付款有关他们所报告的大事或效劳恳求的