信息技术服务管理体系审核员考试试题及答案基础部分

2021年10月管理体系认证基础考试真题2(附答案)一、单选题1、高层结构要求组织在（）上建立目标。

A实际框架B职能C层次D B+C2、由认可机构对认证机构、检查机构、实验室以及从事评审、审核等认证活动人员的能力和执业资格，予以承诺的合格评审活动是（）。

A认证B认可C审核D评审3、“阐明所取得的结果或提供所完成活动的证据的文件”是（）A审核证据B报告C记录D程序4、“确定数值的过程”是（）A检验B确定C计量D测量5、“利用输入实现预期结果的相互关联或相互作用的一组活动”是（）A审核B输出C过程方法D过程6、PEST分析法是（）分析模型。

A微观环境B宏观环境C社会环境D内部环境7、当调查食品安全事件或安全漏洞的数量时，如何抽样更加合适（）。

A统计抽样B隙机抽样C计量抽样D计数抽样8、《质量管理体系GB/T 19001-2016应用指南》对应的标准号是（）。

A GB/T19001B GB/T19002C GB/T19011D GB/T190129、管理体系评价主要是通过（）实现的。

A内部审核B管理评审C自我评价D以上都是10、所谓“过程方法”，就是系统地识别和管理组织所应用的过程及其活动，将活动作为（）的过程组成的系统来理解和管理时，可更加有效和高效地得到一致的，可预期的结果。

A相互关联B相互作用C相互关联、功能连贯D相互关联、相互作用11、减少审核时间的因素包括（）A与人员数量相比，现场很小B体系运行成熟C多个管理体系整合程度D A+B+C12、以下是虚拟场所的是（）。

A 一个设计和开发组织的员工在远程位置上开展工作，在云环境中工作B受审核医院办公室里医生正在在线开展远程诊疗活动C移动公司的呼叫中心办公室里员工在线回答客户问题D以上都不是13、在制定审核方案时，应考虑组织的规模，以下条款与规模有关的是（）A体系覆盖的人数B使用的信息系统的数量C用户的数量D以上选项都正确14、按照《中国认证认可条例》的规定，一个审核员必须符合下列（）A要求只能在一个认证机构从事审核或培训工作B可在一个认证机构从事专职审核工作，在另一审核机构从事兼职审核工作C可在一个认证机构从事兼职审核工作，同时从事咨询工作只要不审核所咨询企业D可在一个认证机构从事专职审核工作，在另一培训机构从事兼职培训工作15、获取客观证据的方式有（）A面谈B观察C审查文件D以上都是16、国际互认标识的缩写简称是（）A. ISOB. IECC. IAFD. IDT17、初次认证后的第一次监督审核在（）日期起12个月内进行。

中国认证认可协会（CCAA）信息技术服务管理体系（ITSMS）审核员考试试卷姓名：成绩：本试卷满分：100分考试时间：120分钟考试形式：闭卷考试一单项选择题（每题1分，共10分，请将正确的答案序号添入括号内。

）1. GB/T24405.1-2009/ISO/iec20000-1:2005标准是（）A.业务连续性管理体系的要求B.IT服务管理体系的要求C.信息安全管理体系的规范D.IT 服务管理体系指南2.下面不属于服务交付过程的是( )A.服务级别管理B.服务连续性和可用性管理C.计划和实施新的或变更的服务D.服务报告3.下列不属于服务策划内容的是( )A.管理设施和预算B.定义服务提供方服务管理的范围C.识别需要执行的过程D.识别、评估和管理实现既定目标的问题和风险的方法4. 服务级别协议应处于( )的控制之下A.能力管理过程B.变更管理过程C.业务关系管理过程D.事件管理过程5.下列关于服务方针的描述不正确的是( )A.是可量化的B.与服务提供方的宗旨相适应C.包括对满足服务需求的承诺D.在连续的适宜性方面通过评审6. 第二方审核是( )A.由组织的相关方进行的审核B.内部审核C.由公正第三方进行的审核D.由独立认证机构进行的审核7.用户致电服务台，说他的终端设备出现故障。

请问这是一个( )A.事件B.已知错误C.问题D.变更请求8.哪个服务管理流程负责评估变更请求的风险、影响和业务收益( )A.配置管理B.变更管理C.事件管理D.问题管理9. 审核员的“能力(capability)”是：A.经证实的个人素质和应用知识和技能的本领B.领导、管理全部审核工作和审核组的能力C.与受审核方、审核委托方沟通的能力D.编制检查表和不合格报告的能力10. 下面哪一个描述了安全管理流程中“完整性”的基本概念？( )A. 检验数据正确性的能力B. 数据的正确性C. 防止数据被非法访问和使用的保护措施D. 对数据的随时访问二多项选择题（每题2分，共20分，请将正确的答案序号添入括号内。

2021年10月ITSMS信息技术服务管理体系基础考试试题（网友回忆版）[单选题]1.组织应定义所（江南博哥）有事件的记录和分类、分级、需要时升级、解决和()A.报告B.沟通C.回复顾客D.正式关闭参考答案：D[单选题]2.在发布一个软件升级，修复某个已知错误后，哪个流程能确保配置信息被正确更新()?A.变更管理B.服务级别管理C.配置管理D.发布和部署管理参考答案：C[单选题]3.《信息技术服务分类与代码》规定()属于软件运营服务。

A.在线杀毒B.物流信息管理服务平台C.电子商务D.在线娱乐平台参考答案：A[单选题]4.《信息安全等级保护管理办法》规定，()级保护时，国家信息安全管部门对该级信息安全等级保护工作进行强制监督、检查。

A.3B.2C.5D.4参考答案：D[单选题]5.关于认证人员执业要求，以下说法正确的是:A.注册审核员只能在一个认证机构和一个咨询机构执业B.注册审核员和认证决定人员只能在一个认证机构C.注册审核员只能在一个认证机构执业，非注册的认证决定人员不受此限制D.在咨询机构认专职咨询师的人员，只能在认证机构人兼职认证决定人员参考答案：B[单选题]6.最高管理者应确保服务管理体系要求整合到组织()中，证实对服务管理体系的领导承诺。

A.活动B.资源C.过程D.目标参考答案：A[单选题]7.ISO/IEC20000-1:2018标准是依据管理体系高层结构，即()对标准的结构进行调整的A.ISO/IEC导则的一部分综合ISO补充附录B.ISO/IEC导则的一部分综合ISO补充结构层C.ISO/IEC导则的一部分综合ISO补充体质D.ISO/IEC导则的一部分综合ISO补充模型参考答案：A[单选题]8.《信息技术服务分类与代码》中的分类分为()级A.2B.3C.4D.5参考答案：B[单选题]9.在访问因特网时，为了防止Web网页中恶意代码对自己计算机的损害，可以采取的防范措施是()A.利用SSL访问Web站点B.将要访问的Web站点按其可信度分配到浏览器的不同安全区域C.在浏览器中安装数字证书D.利用IP安全协议访问Web站点参考答案：B[单选题]10.ISO/IEC20000-1的最新版是()版A.2018B.2005C.2020D.2011参考答案：A[单选题]11.已知错误是一个已识别根本原因或解决方案降低或消除对服务影响的()A.问题B.事件C.错误D.事态参考答案：A[单选题]12.ISO/IEC20000J标准的范围声明是很重要的，因为()A.它定义了管理体系根据什么予以认证B.它详细描述了所有已被认证的公司C.它详细描述了所有已被认耐砂D.它确定了哪些流程已超出了范围参考答案：D[单选题]13.IT服务管理中所指"服务目录"是：()A.一个包含生产环境IT服务信息的结构化文件，应与服务级别协议一致B.一个服务项目命名清单，不可随意更改C.一个定义服务内容的企业标准D.定义IT服务分类的行业或国家标准参考答案：A[单选题]14.以下哪一项不是ITIL所定义的服务生命周期阶段()?A.服务转换B.服务退役C.服务设计D.服务战略参考答案：B[单选题]15.ISO/IEC20000-1适用于通过ITSMS的()服务规划、设计、转换、交付和改进。

2021年10月CCAA审核员考试真题——管理体系认证基础第1场（含答案及解释）一、多选1.多场所认证的条件不包括( ).A实施集中的管理评审和内审B组织已确定了中心职能C.中心职能获得了授权并披外包给外部组织D.建立和保持了统一的管理体系管认253二、多场所组织认证的条件多场所组织认证要求组织巳确定其中心职能。

中心职能是组织的一部分并且不被分包给外部的职能。

中心职能获得组织的授权以规定、建立并保持统一的管理体系，统一管理体系实施集中的管理评审，所有场所服从组织的内部审核程序。

中心职能负责来自所有场所的数据的收集和分析，并且能够证明其权威和能力，以便在需要时可以变更管理体系，这些变更包括：体系文件和体系；管理评审；投诉；纠正措施的评价；内部审核的策划和对结果的评价；与适用标准有关的法律法规要求等。

2.以顾客为导向的基于过程的审核中，审核员不仅需考虑受审核方的需要，而且需考虑受审核方顾客的需要,须A是否正确理解顾客要求并在每个过程中予以落实B.每个过程的绩效及其对质量管理体系整体绩效的影响C.在质量管理体系方面的整体改进D.作为供方提供合格产品能力的影响管认263（一）基于过程的审核特征(1)顾客导向。

在审核中，审核员不仅考虑受审核方的需要，而且考虑受审核方顾客的需要，关注受审核方是否已经正确理解顾客要求并在每个过程中予以落实。

(2)过程导向。

在审核中，审核员关注过程、过程间的相互关系与接口和过程绩效，以及关注每个过程的绩效及其对QMS 整体绩效的影响。

(3) 结果导向。

在审核中，审核员关注过程结果，并将审核发现与它对受审核方提供合格产品能力的影响相关联。

(4)关注QMS 的持续改进。

在审核中，审核员通过对过程绩效的系统分析，发现过程的波动和改进点，促进受审核方在QMS 的整体改进，提供增值服务。

概论59企业的生存发展始终依托于顾客，离开顾客，企业将成无源之水、无本之木，无法永续经营。

因此企业要以客户要求为导向，不断持续满足顾客日益增长的各种需求，提高客户满意度，才能在激烈的市场竞争中保持优势。

2018年11月ISMS信息安全管理体系审核员考试试题（网友回忆版）[单选题]1.安全标签是一种访（江南博哥）问控制机制，它适用于下列哪一种访问控制策略？（）A.基本角色的策略B.基于身份的策略C.用户向导的策略D.强制性访问控制策略参考答案：D[单选题]3.文件化信息创建和更新时，组织应确保适当的（）A.对适宜性和有效性的评审和批准B.对充分性和有效性的测量和批准C.对适宜性和充分性的测量和批准D.对适宜性和充分性的评审和批准参考答案：D[单选题]5.从计算机安全的角度看，下面哪一种情况是社交工程的一个直接例子？（）A.计算机舞弊B.欺骗或胁迫C.计算机偷窃D.计算机破坏参考答案：B[单选题]6.残余风险是指:（）A.风险评估前，以往活动遗留的风险B.风险评估后，对以往活动遗留的风险的估值C.风险处置后剩余的风险，比可接受风险低D.风险处置后剩余的风险，不一定比可接受风险低参考答案：D[单选题]7.在规划如何达到信息安全目标时，组织应确定（）A.要做什么，有什么可用资源，由谁负责，什么时候开始，一次何测量结果B.要做什么，需要什么资源，由谁负责，什么时候完成，如何测量结果C.要做什么，需要什么资源，由谁负贵，什么时候完成如何评价结果D.要做什么，有什么可用资源，由谁执行，什么时候开始，如何评价结果参考答案：C[单选题]8.当获得的审核证据表明不能达到审核目的时，申核组长可以（）A.宣布停止受审核方的生产/服务活动B.向审核委托方和受审核方报告理中以确定适当的措施C.宣布取消末次会议D.以上各项都不可以参考答案：B[单选题]9.风险处置计划，应（）A.获得风险责任人的批准，同时获得对残余风险的批准B.获得最高管理者的批准，同时获得对残余风险的批准C.获得风险部门负责人的批准，同时获得对残余风险的批准D.获得管理者代表的批准，同时获得对残余风险的批准参考答案：A[单选题]10.GB/T22080-2016中所指资产的价值取决于（）A.资产的价格B.资产对于业务的敏感程度C.资产的折损率D.以上全部参考答案：B[单选题]11.虚拟专用网（VPN）的数据保密性，是通过什么实现的？（）A.安全接口层（sSL，SecureSocketsLayer"/>B.风险隧道技术（Tunnelling）C.数字签名D.风险钓鱼参考答案：B[单选题]12.关于《中华人民共和国保密法》，以下说法正确的是:（）A.该法的目的是为了保守国家秘密而定B.该法的执行可替代以ISO/IEC27001为依据的信息安全管理体系C.该法适用于所有组织对其敏感信息的保护D.国家秘密分为秘密、机密、绝密三级，由组织自主定级、自主保护参考答案：A[单选题]13.关于《中华人民共和国网络安全法》中的“三同步”要求，以下说法正确的是A.指关键信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用B.指所有信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用C.指涉密信息系统建设时须保证安全技术措施同步规划、同步建设、同步使用D.指网信办指定信息系统建设时须保证安全技术措施同步规划、同步建设，同步使用参考答案：A[单选题]14.对于交接区域的信息安全管理，以下说法正确的是:（）A.对于进入组织的设备设施予以检查验证，对于离开组织的设备设施则不必验证B.对于离开组织的设备设施予以检查验证，对于进入组织的设备设施则不必验证C.对于进入和离开组织的设备设施均须检查验证D.对于进入和离开组织的设备设施，验证携带者身份信息;可替代对设备设施的验证参考答案：C[单选题]15.依据GB/T22080/ISO/1EC27001，关于网络服务的访问控制策略，以下正确的是（）A.没有陈述为禁止访问的网络服务，视为允许方问的网络服务B.对于允许访问的网络服务，默认可通过无线、VPN等多种手段链接C.对于允许访问的网络服务，按照规定的授权机制进行授权D.以上都对参考答案：C[单选题]16.组织应（）A.定义和使用安全来保护敏感或关键信息和信息处理没施的区域B.识别和使用安全来保护敏感或关键信息和信息处理没施的区域C.识别和控制安全来保护敏感或关键信息和信息处理没施的区域D.定义和控控安全来保护敏感或关键信息和信息处理没施的区域参考答案：A[单选题]17.关于信息安全产品的使用，以下说法正确的是:（）A.对于所有的信息系統，信息安全产品的核心技术、关鍵部件须具有我国自主知识产权B.对于三级以上信息系統，己列入信息安全产品认征目录的，应取得国家信息安全产品人证机构颁发的认证证书C.对于四级以上信息系銃、信息安全广品研制的主要技术人员须无犯罪记录D.对于四级以上信息系統，信息安全声品研制单位须声明没有故意留有或设置漏洞参考答案：B[单选题]18.关于容量管理，以下说法不正确的是（）A.根据业务对系统性能的需求，设置阈值和监视调整机制B.针对业务关键性，设置资源占用的优先级C.对于关键业务，通过放宽阈值以避免或减少报警的干扰D.依据资源使用趋势数据进行容量规划参考答案：C[单选题]19.若通过桌面系统对终端实行IP、MAC绑定，该网络IP地址分配方式应为（）A.静态B.动态C.均可D.静态达到50%以上即可参考答案：A[单选题]20.国家秘密的保密期限应为:（）A.绝密不超过三十年，机密不超过二十年，秘密不超过十年B.绝密不低于三十年，机密不低于二十年，秘密不低于十年C.绝密不超过二十五年，机密不超过十五年，秘密不超过五年D.绝密不低于二十五年，机密不低于十五年，秘密不低于五年参考答案：A参考解析：国家秘密的保密期限，除有特殊规定外，绝密级事项不超过三十年，机密级事项不超过二十年，秘密级事项不超过十年。

审核员考试认证通用基础练习题（附答案）1. 合格评定结果通过书面形式向社会公示结果，以解决（）A客户经营的需要B竞争的需要C社会信息不对称的问题D以上都是2. 认可机构是对合格评定机构的（）进行评价的机构。

A能力B规模C管理DA+C3. 合格评定对象的产品是（）A过程输出的一种形式B过程C结果D可见的物质4. 合格评定的定义对实际使用该概念提供了足够的（），以确保合格评定得到有效，广泛的使用。

A灵活性B规范性C可行性D以上都是5. 2001年ISO/CASCO推出了开展合格评定活动的基本方法，即（）A合格评定原则B认证与认可方案C合格评定功能法D合格评定方法6. 认证结果的复核和决定应由未参与评价过程的人员进行，其主要目的是保证（）A权威性B公正性C科学性D保密性7. 服务认证也是合格评定功能法各阶段活动的应用，其认证模式一定要考虑（）A服务体验B服务抽查C服务评估D服务总结8. 认证机构对认证人员的管理包括（）A能力准则的确定B能力评价C人员使用过程管理D以上都是9. 检验是对产品，过程，服务或安装的（）A审查B检测C试验D审核10. 质量技术基础被称作国家质量基础设施。

质量基础设施包括（）A计量B标准化C合格评定D以上都是11. 在合格评定工具箱的分类中，属于技术功能文件的是（）AGBT27001《合格评定公正性原则和要求》BGBT27011《合格评定认可机构的通用要求》CGBT27021《合格评定管理体系审核认证机构要求》DGBT19001《质量管理体系标准》12. 多场所可以抽样的原则不包括（）A所有场所都由同一个管理体系覆盖，并得到统一的管理B总部也可以抽样C应对组织有代表性的场所进行审核D组织根据内审程序对所有的场所都实施了审核，并实施了管理评审13. 下面哪一种情况可作为审核证据（）A陪同人员质检科长向审核员反映：“供应科从非合格供方A处采购硫酸”B供应科长承认从非合格供方A处采购硫酸C因在合格供方名录中找不到硫酸合格供方A，故审核员认为供应科从非合格供方A处采购硫酸D以上都是14. 认证认可制度具有市场化、国际化等显著特征，本质属性是（）A以人为本，持续发展B传递信任，服务发展C统一体系，共同参与D创造信任，提高价值15. 审核员在不符合项的提出及纠正和跟踪验证中需要完成的工作中不包括（）A现场审核中确定不符合项B对受审核方如何纠正不符合提出改进建议C对受审核方提出纠正措施的整改要求进行验证D进行不符合项纠正措施的跟踪验证16. 实施审核方案可涉及到以下哪一方面的工作（）A确定审核目的、范围和准则B评审文件的适宜性和充分性C编写审核检查表D制定审核计划17. 在审核中，判定合法的原则是（）A企业拥有法人资格B执行者有单位主管的授权书C执法主体内容合法D执法主体内容程序合法18. 对于审核中发现的不符合，认证机构应要求客户（）分析原因，并说明为消除不符合已采取的措施或拟采取的具体纠正和纠正措施。

2019年05月ISMS信息安全管理体系审核员考试试题（网友回忆版）[单选题]1.下列中哪个活动是（江南博哥）组织发生重大变更后一定要开展的活动？（）A.对组织的信息安全管理体系进行变更B.执行信息安全风险评估C.开展内部审核D.开展管理评审参考答案：B[单选题]3.对于外部方提供的软件包，以下说法正确的是：（）A.组织的人员可随时对其进行适用性调整B.应严格限制对软件包的调整以保护软件包的保密性C.应严格限制对软件包的调整以保护软件包的完整性和可用性D.以上都不对参考答案：D[单选题]5.从计算机安全的角度看，下面哪一种情况是社交工程的一个直接例子？（）A.计算机舞弊B.欺骗或胁迫C.计算机偷窃D.计算机破坏参考答案：B[单选题]6.当获得的审核证据表明不能达到审核目的时，审核组长可以（）A.宣布停止受审核方的生产/服务活动B.向审核委托方和受审核方报告理由以确定适当的措施C.宣布取消末次会议D.以上各项都不可以参考答案：B[单选题]7.在我国《信息安全等级保护管理办法》中将信息系统的安全等级分为（）级。

A.3B.4C.5D.6参考答案：C[单选题]8.假如某人向一台远程主机发送特定的数据包，却不想远程主机响应其的数据包，说明此人能使用的是下列哪一种类型的攻击手段？（）A.特洛伊木马B.地址欺骗C.缓冲区溢出D.拒绝服务参考答案：B[单选题]9.控制影响信息安全的变更，包括（）A.组织、业务活动、信息及处理设施和系统变更B.组织、业务过程、信息处理设施和系统变更C.组织、业务过程、信息及处理设施和系统变更D.组织、业务活动、信息处理设施和系统变更参考答案：B[单选题]10.第三方认证审核时确定审核范围的程序是：（）A.组织提出、与审核组协商、认证机构确认、认证合同规定B.组织申请、认证机构评审、认证合同规定、审核组确认C.组织提出、与咨询机构协商、认证机构确认D.认证机构提出、与组织协商、审核组确认、认证合同规定参考答案：B[单选题]11.以下描述不正确的是（）A.防范恶意和移动代码的目标是保护软件和信息的完整性B.纠正措施的目的是为了消除不符合的原因，防止不符合的再发生C.风险分析、风险评价、风险处理的整个过程称为风险管理D.控制措施可以降低安全事件发生的可能性，但不能降低安全事件的潜在影响参考答案：D[单选题]12.ISMS管理评审的输出应包括（）A.可能影响ISMS的任何变更B.以往风险评估没有充分强调的脆弱点或威胁C.风险评估和风险处理计划的更新D.改进的建议参考答案：D[单选题]13.《信息安全管理体系认证机构要求》中规定，第二阶段审核（）进行A.在客户组织的场所B.在认证机构以网络访问的形式C.以远程视频的形式D.以上都对参考答案：A[单选题]14.审核员在信息安全控制措施评审过程中采用的评审方法不包括（）。

CCAA管理体系审核员继续教育-管理体系认证基础章节测试题及答案.docx 管理体系认证基础1.⼈本原理的主要观点：（）。

（1分）［多选题］2. （）的中⼼思想是核⼼技术或能⼒是决定企业经营成败的根本，企业应该围绕核⼼技术或能⼒的获得、设计发展战略，⽽不是只盯着短期的利润⽬标。

（1分）［单选题］1. 核⼼竞争⼒理论2. 战略管理理论3. 学习型组织理论4. 企业⽂化理论3.企业⽂化主要功能：凝聚功能、导向功能、激励功能、约束功能、辐射功能。

（）（1分）1. 正确2. 错误4. 信息作为组织的⼀种重要资源，是现代管理的依据和基础，信息技术已成为现代企业的核⼼技术。

（）断题］ 1. 正确 2. 错误5.中国传统的管理思想，分为宏观管理的治国学和微观管理的治⽣学。

（）（1分）［判断题］1. 正确2. 错误6. 系统的特征包括：（）。

（1分）［多选题］1. 集合性2. 层次性3. 相关性4. 综合性7. 提⾼劳动⽣产率是科学管理理论的中⼼问题，也是泰勒创⽴科学管理理论的基本岀发点。

（）1. 正确2. 错误8. 麦格雷⼽认为：（）的前景⾮常美好，有助于⼈类实现“美好社会”。

（1分）［单选题］1. 需要层次理论2. 成就需要理论3. X 理论 9. 管理科学学派认为，管理的本质是⼀种实践，不在于知⽽在于⾏，唯⼀权威的就是成果。

（）［判断题］（1分）［判（1分）［判断题］（1分）［判断题］［判断题］2. 错误10. 社会效益是经济效益的基础，⽽经济效益⼜是促进社会效益提⾼的重要条件。

（）（1分）1. 正确2. 错误3. 协调资源4. 控制活动12. 管理信息系统的主要特点是：（）。

（1分）［多选题］1. 系统的观点2. 信息的处理3. 计算机的应⽤4. 数学的⽅法13. 社会技术系统学派认为，解决复杂系统的管理决策问题，可以⽤电⼦计算机作为⼯具，⽤各种数学⽅法对管理问题进⾏定量分析，寻求最佳计划⽅案，以达到企业的⽬标。