20176月信息技术服务管理体系审核员考试试题和答案解析[审核部分]

CCAA信息安全管理体系审核员考试（审核知识与技能）姓名：身份证号：单位名称：考试日期：年月日类别单选题多选题阐述题案例分析题总得分得分阅卷人签字备注复核人签字备注一、单项选择题( 从下面各题选项中选出一个最恰当的答案，并将相应字母填在下表相应位置中。

每题 1分，共40 分。

)题号 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 答案 B D C A B C D B A D B A C B D A C A D A题号21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 答案 B D B D D B C D A D B A D C B B C C D A题号 1 2 3 4 5考点 4.1a 4.1a 4.1a 4.1a 4.1a难度 3 4 3 3 2题号 6 7 8 9 10考点 4.1a 4.1a 4.1a 4.1a 4.1a难度 3 3 3 3 33题号11 12 13 14 15考点 4.1a 4.1a 4.1a 4.1a 4.1a难度 3 2 3 2 3题号16 17 18 19 20考点 4.1a 4.1a 4.1a 4.1a 4.1a难度 3 3 4 3 3题号21 22 23 24 25考点 4.1b 4.1b 4.1b 4.1b 4.1c难度 3 3 3 3 3题号26 27 28 29 30考点 4.2a 4.2a 4.2b 4.2b 4.2b难度 3 3 3 3 3题号31 32 33 34 35考点 4.2b 4.2b 4.2b 4.2b 4.2b难度 3 3 3 3 3题号36 37 38 39 40考点 4.3 4.3 4.3 4.3 4.3难度 3 4 3 3 3 备注：考点描述按考试大纲的编号给出，其中标准要求部分再添加标准条款号（见上面例子）难度按 5 级划分， 1 级很容易，答题正确率90%以上， 2 级较容易，答题正确率80-90%之间，3 级中等，答题正确率70-80% ，4 级较难，答题正确率50-70%，5 级很难，答题正确率50%以下。

2024年第二期CCAA注册ISMS信息安全管理体系审核员知识考试题目一、单项选择题1、《互联网信息服务管理办法》现行有效的版本是哪年发布的？()A、2019B、2017C、2016D、20212、当发生不符合时，组织应（）。

A、对不符合做出处理，及时地：采取纠正，以及控制措施；处理后果B、对不符合做出反应，适用时：采取纠正，以及控制措施：处理后果C、对不符合做出处理，及时地：采取措施，以控制予以纠正；处理后果D、对不符合做出反应，适用时：采取措施，以控制予以纠正；处理后果3、（）是建立有效的计算机病毒防御体系所需要的技术措施A、补丁管理系统、网络入侵检测和防火墙B、漏洞扫描、网络入侵检测和防火墙C、漏洞扫描、补丁管理系统和防火墙D、网络入侵检测、防病毒系统和防火墙4、TCP/IP协议层次结构由（）A、网络接口层、网络层组成B、网络接口层、网络层、传输层组成C、网络接口层、网络层、传输层和应用层组成D、其他选项均不正确5、在我国《信息安全等级保护管理办法》中将信息系统的安全等级分为（）级A、3B、4C、5D、66、一家投资顾问商定期向客户发送有关经新闻的电子邮件，如何保证客户收到资料没有被修改（）A、电子邮件发送前，用投资顾问商的私钥加密邮件的HASH值B、电子邮件发送前，用投资顾何商的公钥加密邮件的HASH值C、电子邮件发送前，用投资项问商的私钥数字签名邮件D、电子邮件发送前，用投资顾向商的私钥加密邮件7、管理者应（）A、制定ISMS方针B、制定ISMS目标和专划C、实施ISMS内部审核D、确保ISMS管理评审的执行8、管理员通过桌面系统下发IP、MAC绑定策略后，终端用户修改了IP地址，对其的处理方式不包括(）A、自动恢复其IP至原绑定状态B、断开网络并持续阻断C、弹出提示街口对其发出警告D、锁定键盘鼠标9、物理安全周边的安全设置应考虑：（）A、区域内信息和资产的敏感性分类B、重点考虑计算机机房，而不是办公区或其他功能区C、入侵探测和报警机制D、A+C10、可用性是指（）A、根据授权实体的要求可访问和利用的特性B、信息不能被未授权的个人，实体或者过程利用或知悉的特性C、保护资产的准确和完整的特性D、反映事物真实情况的程度11、公司A在内审时发现部分员工计算机开机密码少于6位，公司文件规定员工计算机密码必须6位及以上，那么中哪一项不是针对该问题的纠正措施？()A、要求员工立即改正B、对员工进行优质口令设置方法的培训C、通过域控进行强制管理D、对所有员工进行意识教育12、对于较大范围的网络，网络隔离是（）A、可以降低成本B、可以降低不同用户组之间非授权访问的风险C、必须物理隔离和必须禁止无线网络D、以上都对13、完整性是指()A、根据授权实体的要求可访问的特性B、信息不被未授权的个人实体或过程利用或知悉的特性C、保护资产准确和完整的特性D、保护资产保密和可用的特性14、审核抽样时，可以不考虑的因素是(）A、场所差异B、管理评审的结果C、最高管理者D、内审的结果15、信息安全管理中，支持性基础设施指：（）A、供电、通信设施B、消防、防雷设施C、空调及新风系统、水气暖供应系统D、以上全部16、构成风险的关键因素有（）A、人、财、物B、技术、管理和操作C、资产、威胁和弱点D、资产、可能性和严重性17、组织应（）A、定义和使用安全来保护敏感或关键信息和信息处理设施的区域B、识别和使用安全来保护敏感或关键信息和信息处理设施的区域C、识别和控制安全来保护敏感或关键信息和信息处理设施的区域D、定义和控控安全来保护敏感或关键信息和信息处理设施的区域18、依据GB/T22080-2016/1SO/1EC.27001:2013标准，不属于第三方服务监视和评审范畴的是（）。

信息技术服务管理体系审核员考试试题及答案基础部分集团标准化办公室：[VV986T-J682P28-JP266L8-68PNN]信息技术服务管理体系审核员考试（基础知识部分）姓名：身份证号：A．GB/T22080-2008/ISO/IEC27001：2005B．GB/T24405.1-2009/ISO/IEC20000-1：2005C．ISO/IEC20000-2：2005D．ISO/IECTR20000-32．包含每个配置项所有相关的详细信息和配置项之间重要关系的详细信息的数据库是（）。

A．配置项B．基线C．配置管理数据库D．以上都是3．文件是指（）。

A．包括受影响的配置项及其如何被授权的变更所影响的详细信息的记录B．阐明所取得的结果或提供所完成活动的证据的文件C．为进行某项活动或过程所规定的途径D．信息及其承载介质4．一个或多个事件的未知的潜在原因是（）。

B．问题C．事态D．缺陷5．经测试且被引入实际运行环境新配置项和（或）变更的配置项的集合是（）。

A．SLAB．OLAC．CMDBD．以上都不是6．应对服务管理进行策划，形成计划……（）。

A．任何针对特定过程生成的计划都应与服务管理计划保持一致B．任何针对特定过程生成的计划都应与服务管理方针保持一致C．任何针对特定过程生成的SLA都应与服务管理计划保持一致D．任何针对特定过程生成的SLA都应与服务管理方针保持一致7．服务提供方应实施服务管理计划，以管理并交付服务，包括（）。

A．服务风险的识别和管理B．支持过程的适当工具C．得到有效地实施和保持D．以上都是8．审核方案应规定（）。

A．审核的目的、范围、频次和方法B．审核的准则、目标、频次和方法C．审核的准则、范围、渠道和方法D．审核的准则、范围、频次和方法9．策划和实施新服务或变更的服务（）。

A．确保所有批准的措施都已交付执行，并达到了预期目标B．与所有相关方进行协商C．应考虑由服务交付和管理所产生的成本以及组织上、技术上和商业上的影响D．测量、报告并通报服务改进10．所提供的服务都应定义、协商并记录在（）服务级别协议（SLAs)中。

中国认证认可协会（CCAA）全国统一考试信息技术服务管理体系（ITSMS）基础知识试卷2018年6月一、单项选择题（从下面各题选项中选出一个最恰当的答案，并将相应字母填在下表相应位置中。

每题1分，共50分，不在指定位置答题不得分）1、ISO/IEC 20000-1： 2011 标准对供方合同期满有何要求？(A)服务提供方需要公开投标来续签合同(B)应自动续期，除非对供应商所提供服务存在担心事项(C)业务关系管理层应咨询客户来讨论替代方案(D)合同中应该包括与预期服务结束相关的信息2、在导入新的或变更的服务后，进行实施后的评审，属于（）过程负责。

(A)服务级别管理(B)IT 服务的预算和核算(C)变更管理(D)发布和部署管理3、ISO/IEC 20000-1： 2011 标准是（）(A)阐述 IT 服务评估要求的标准(B)阐述 IT 服务管理体系要求的标准(C)阐述 IT 服务中的信息安全要求的标准(D)以上都不对4、“计划-执行-检查-行动”方法用于ISO/IEC 20000 服务管理过程（SMS）。

“检查”阶段包括（）(A)计划SMS 的实施(B)实施 SMS(C)监控和衡量 SMS 并报告结果(D)采取行动并持续改善 SMS5、包含结构、内容和基础设施详细信息以及彼此之间关系的是（）。

(A)配置管理数据库(B)项目基线(C)变更基线(D)资产基线6、《中华人民共和国计算机信息系统安全保护条例》规定：进行国际联网的计算机信息系统，由计算机信息系统的使用单位报（）人民政府公安机关备案。

(A)市级以上(B)国务院信息办公室(C)县级以上(D)省级以上7、下面属于记录的是（）。

(A) IT 管理手册(B)服务指南(C)变更请求(D)服务指针8、在服务提供方的容量计划中不包含以下哪个方面？（）(A)服务需求的预测(B)服务容量升级的成本(C)当前服务需求(D)服务级别协议9、IS0/IEC 20000-1： 2011 标准的（）以过程参考模型的形式提供指导。

CCAA信息安全管理体系审核员考试（审核知识与技能）姓名：身份证号：一、单项选择题(从下面各题选项中选出一个最恰当的答案，并将相应字母填在下表相应位置中。

每题1分，共40分。

)备注：考点描述按考试大纲的编号给出，其中标准要求部分再添加标准条款号（见上面例子）难度按5级划分，1级很容易，答题正确率90%以上，2级较容易，答题正确率80-90%之间，3级中等，答题正确率70-80% ，4级较难，答题正确率50-70%，5级很难，答题正确率50%以下。

答题正确率在30%以下的题不要出。

1．对于目标不确定性的影响是（）。

A．风险评估B．风险C．不符合D．风险处置2．管理体系是（）。

A．应用知识和技能获得预期结果的本领的系统B．可引导识别改进的机会或记录良好实践的系统C．对实际位置、组织单元、活动和过程描述的系统D．建立方针和目标并实现这些目标的体系3．审核的特征在于其遵循（）。

A．充分性、有效性和适宜性B．非营利性C．若干原则D．客观性4. 审核员在（）应保持客观性。

A．整个审核过程B．全部审核过程C．完整审核过程D．现场审核过程5. 如果审核目标、范围或准则发生变化，应根据（）修改审核方案。

A．顾客建议B．需要C．认可规范D．认证程序6. 在审核过程中，出现了利益冲突和能力方面的问题，审核组的（）可能有必要加以调整。

A．审核员和技术专家B．审核组长和审核员C．规模和组成D．实习审核员7. 从审核开始直到审核完成，（）都应对审核的实施负责。

A．管理者代表B．审核方案人员C．认证机构D．审核组长8. 当审核不可行时，应向审核委托方提出（）并与受审核方协商一致。

A．合理化建议B．替代建议C．终止建议D．调整建议9. 文件评审应考虑受审核方管理体系和组织的规模、性质和复杂程度以及审核的（）A．目标和范围B．方针和目标C．方案和计划D．标准和法规10. 在编制审核计划时，审核组长不应考虑以下方面（）A．适当的抽样技术B．审核组的组成及其整体能力C．审核对组织形成的风险D．企业文化11. 对于初次审核和（），审核计划的内容和详略程度可以有所不同。

ccaa审核员考试题库及答案1. 审核员在进行环境管理体系审核时，应关注哪些方面？答案：审核员在进行环境管理体系审核时，应关注组织的环境政策、规划、实施与运行、检查和纠正、管理评审等五个方面。

2. 请简述质量管理体系中“过程方法”的含义。

答案：质量管理体系中“过程方法”指的是将组织内的各项活动视为相互关联的过程网络，通过理解和管理这些过程及其相互作用，以有效和高效地实现组织的质量目标。

3. 审核员在审核信息安全管理体系时，应如何评估组织的应急响应能力？答案：审核员应评估组织是否制定了应急响应计划，是否定期进行应急演练，以及在实际发生信息安全事件时，组织的反应速度和处理效率。

4. 描述ISO 9001标准中关于顾客满意度的监控和测量要求。

答案：ISO 9001标准要求组织应监控和测量顾客满意度，并利用这些信息来评估顾客对组织是否满足其质量要求的感知。

组织应确定获取顾客反馈的方法，并分析和利用这些信息以改进产品和服务。

5. 在环境管理体系中，如何确定环境因素？答案：在环境管理体系中，确定环境因素应通过识别组织活动、产品和服务中能够控制或能够对其施加影响的环境因素，并评估这些因素对环境可能造成的影响。

6. 请解释ISO 14001标准中“合规义务”的概念。

答案：ISO 14001标准中的“合规义务”指的是组织应识别并遵守与其环境因素相关的法律、法规要求，以及组织应遵守的其他要求，并确保这些要求在其环境管理体系中得到实施和维护。

7. 审核员在审核职业健康安全管理体系时，应关注哪些关键要素？答案：审核员在审核职业健康安全管理体系时，应关注组织的风险评估、安全政策、培训、应急准备、事故和事件的处理、绩效监测和改进等关键要素。

8. 描述ISO 45001标准中关于职业健康安全管理体系的持续改进要求。

答案：ISO 45001标准要求组织应持续改进其职业健康安全管理体系的绩效，通过定期评审和更新管理计划，以及采取纠正和预防措施来实现这一目标。

中国认证认可协会（CCAA）全国统一考试信息技术服务管理体系（ITSMS）审核知识试卷2018年6月注意事项：1、本试卷满分：120分；考试时间：120分钟；考试形式：笔试闭卷。

2、考生务必将自己的姓名、身份证号、准考证号填写在试卷密封线内，答案写在试卷指定位置。

3、考生座位号务必填写。

1、关于 ITSMS 范围的确定，以下说法正确的是（）。

（A）应考虑业务活动和过程及其边界（B）因考虑组织单元、组织的物理位置（C）应考虑组织的资产和技术（D）以上全部2、ISO/IEC 20000-1:2011 中所指内部团体是指:（）(A) IT 服务提供方组织内，除 IT 服务交付团队的所有其他职能部门。

(B) IT 服务提供方组织内，按项目划分的不同服务交付团队。

(C)服务提供方组织内，按与服务交付团队的协议参与服务设计等活动的职能部门。

(D)以上都对3、从审核开始直到审核完成，（）都应对审核的实施负责。

(A)管理者代表(B)审核方案人员(C)认证机构(D)审核组长4、IT 服务管理中，以下不属于变更管理过程应予以管理的范围是（）。

（A）与供方的合同的变更（B）用于 IT 服务连续性目的、部件升级（C）事件中为复原一项服务需要紧急更换一个 CPU（D）对依赖 IT 服务的业务过程的变更5、第三方认证审核时确定审核范围的程序是：(A)组织提出、与审核组协商、认证机构确认、认证合同规定(B)组织申请、认证机构评审、认证合同规定、审核组确认(C)组织提出、与咨询机构协商、认证机构确认(D)认证机构提出、与组织协商、审核组确认、认证合同规定6、对于个人信息的使用，除法律法规另有规定外,应（）(A)得到个人信息主体的同意并按约定时间及时删除(B)得到个人信息主体所在组织的同意，不须告知个人信息主体。

(C)个人信息持有者自行决定管理措施，不须告知个人信息主体。

(D)得到个人信息主体的同意并尽可能长时间保存。

7、从审核中获得的（）应作为受审核组织的管理体系的持续改进过程的输入(A)审核证据(B)不符合项(C)合理化建议(D)审核发现8、在认证审核时，审核组应（）。

信息安全管理体系认证人员考试试卷姓名：分数：一、填空题（每题4分，共计40分）1、采用信息安全管理体系是组织的一项性决策。

2、信息安全管理体系通过应用风险管理过程来保持信息的性、性和性，以充分管理风险并给予相关方信心。

3、信息安全在、、时就要考虑信息安全。

4、组织声称符合信息安全管理体系标准时，对于第4章到第10章的要求删减。

5、信息安全管理体系初次审核的第一阶段现场审核不宜少于个审核人日。

6、当客户由于信息安全的原因在申请评审阶段不能提供给认证机构足够的信息时，认证机构应通过审核在客户的现场补充对上述信息的确认，并完成申请评审任务。

这种情况下，认证机构应第一阶段现场审核时间。

7、认证机构应确保客户符合工信部联协[2010]394号文的要求，以及有关主管部门/监管部门对信息安全管理体系认证的管理要求（如工信部2011年第21号公告《工业和信息化部加强政府部门信息技术外包服务安全管理》等）。

8、如果认证机构因为未获得客户的允许或无法满足适用的要求而不能接触相关信息资产，那么认证机构应对审核和认证所受到的影响进行评估并采取相应的措施（例如终等）。

9、审核组成员不宜在审核过程中以任何方式记录受审核客户的。

审核组在离开受审核客户前，宜请受审核客户检查和确认审核组携带的文件、资料和设备中未夹带受审核客户的任何保密或敏感信息。

10、为了确保能够实施有效的审核并确保可靠和可比较的结果，对表B.1中审核时间的减少，不应超过。

二、简答题（每题10分，共计60分）1、实施申请评审以确定所需的审核组能力、选择审核组成员并确定审核时间的人员需要具备哪些知识？2、合同评审信息安全管理体系认证申请的主要内容有哪些？3、申请信息安全管理体系申请者应提交哪些材料？4、参与ISMS审核的审核员，应具有哪些业务管理实践的知识？5、简述信息安全管理体系审核员的评价准则6、简述适宜的信息安全管理专业工作经历有哪些？信息安全管理体系认证人员考试试卷姓名：分数：一、填空题（每题4分，共计40分）1、采用信息安全管理体系是组织的一项战略性决策。

OHSMS考试题解析(6.1)审核部分⼀、单项选择题（每题 1 分，共 15 分）：1.职业健康安全管理体系初次认证的⼀阶段审核包括：（B）A.⽂件审核B.⽂件审核和现场审核C.现场审核 D.以上都不是2.现场审核的⾸末次会议的主持⼈是（D）A.审核员B.受审核⽅管理者代表C.受审核⽅总经理 D.审核组长3.审核报告给（A）A.委托⽅B.受审核⽅C.认证认可委员会D.审核企业的相关⽅4.审核组由审核组长、审核组成员等组成，技术专家在审核组中的职责（ D ）A.指导实习审核员 B.从事审核活动 C.组织审核活动 D.提供技术⽀持5.审核组下现场审核之前⼀定要（ A ）A.编写审核计划B.到企业进⾏预访问C.到具有资质的学校进⾏专业学习D.在⼀起编写不符合报告和审核报告6.由认证机构指派的审核组对组织的职业健康安全管理体系进⾏审核属于（B）A.第⼀⽅审核B.三⽅审核C.第⼆⽅审核D.对体系的⾃检查7.审核报告由谁负责编写？（B）A.技术专家B.审核组长C.企业管理者代表8.开具不符合报告应经过受审核⽅管理者代表批准9.审核之后受审核⽅的后续活动包括（C ）A.监督审核B.复评C.不符合纠正和纠正措施的验证D.颁发证书10.检查表是⽤来（ A ）A.给审核员做备忘录B.给受审核⽅做迎审准备C.留给受审核⽅做审核档案D.交给认监委存档11. 实习审核员升审核员⾄少要有多少审核经历？（A）A.4 次 20 天B.3 次 15C.3 次 20 天D.4 次 15 天12.审核准则除 GB/T28001-2001 标准、公司编写的职业健康安全管理体系⽂件，还有（B）A.审核员的检查表B.适⽤的法规和其他要求C.公司的内审计划D.审核员的要求13.在企业管理过程中常常使⽤ TQM，其中⽂称做（C）A.全⾯⽣产管理B.最佳⽣产技术C.全⾯质量管理D.弹性制造系统14.⾸末次会议⼀般控制在多少时间内（A）A.30~45 分钟B.10 分钟C.60 分钟 D.半天15.审核时采⽤开放式提问会（D ）A.提⾼审核深度B.缓解紧张⽓氛D.获得较多的信息⼆、多项选择题（每题 2 分，共 10 分）1.审核范围的确定通常应包括对哪些内容的描述？（ABC ）A.实际位置B.组织单元C.活动和过程及所覆盖的时期D.企业规模2.审核准则包括（CD ）A.GB/T24001-2004 标准B.GB/T19001-2000 标准C.组织适⽤的法规和其他要求D.GB/T28001-2001 标准3.审核员的能⼒主要包括哪些本领？（BC）A.国家颁发的特种作业上岗证B.应⽤知识和技能C.个⼈素质 D.⾼中以上⽂化⽔平4.审核员⾏为准则包括（ABD ）A.遵纪守法、敬业诚信、准确公证B.不承担本⼈不具备能⼒的审核C.向企业索取纪念品D.不介⼊冲突或利益竞争5. 企业的基本管理⽅法包括：（ABD ）A.⽬标管理B.ABC 管理法C.班前班后会D.全⾯质量管理三、判断题（每题 1 分，共 10 分）1.审核计划是针对某⼀次审核活动的策划。

中国认证认可协会（CCAA）全国统一考试信息技术服务管理体系（ITSMS）基础知识试卷2017 年12 月1、标准变更是指（）(A)服务提供方已建立的策略和指南的变更(B)正确遵从要求的变更过程的变更(C)按照规定程序预先授权的变更(D)由审核引发的变更2、下列哪项正确描述了ISO/IEC20000-1 标准和ISO/IEC20000-2 的内容？（）(A)IS0/IEC 20000-1 定义了服务管理体系的要求，IS0/IEC 20000-2 提供了关于如何实施服务管理体系的指导；(B)IS0/IEC 20000-1 提供了关于如何应用服务管理体系的指导，ISO/IEC20000-2 定义了服务管理体系的要求；(C)IS0/IEC 20000-1 提供了关于IS0/IEC 20000-1 范围定义和适用性的指导，IS0/IEC 20000-2 定义了服务管理体系的要求；(D)ISO/IEC 20000-1 定义了服务管理体系的要求，IS0/IEC 20000-2 提供了 IS0/IEC 20000-1 范围定义和适用性的指导。

3、当正常服务地点的访问被阻止时，应具有（）。

(A)服务连续性计划、联系清单和配置管理数据库(B)服务连续性计划、业务连续性计划和配置管理数据库(C)业务连续性计划、联系清单和配置管理数据库(D)服务连续性计划、联系清单和配置项4、IT 服务的预算与核算应：（）(A)包含对服务进行合理计费的方法(B)包含 IT 资产和服务日常开支，不计算人员费用和保险(C)包含服务提供方自身的支出，不针对外部供应服务(D)计算与服务相关的间接成本和直接成本的分摊5、下面哪一个描述了安全管理流程中“完整性”的基本概念？（）(A)检验数据正确性的能力(B)保护信息资产准确和完整性(C)防止数据被非法访问和适用的保护措施(D)对数据的随时访问6、关于 GB/T19011 标准，以下说法正确的是（）(A)提供审核指南(B)提供质量管理模式(C)提供与质量管理有关的指南(D)提供体系建设指南7、管理体系的初次认证审核应分为两个阶段实施（）(A)第一阶段和第二阶段(B)预审核和初次访问审核(C)预审核和监督审核(D)第一阶段和监督审核8、（）能够帮助确定问题影响水平。

精品文档姓名：信息技术服务管理体系审核员考试（基础知识部分）身份证号：单位名称：类别得分阅卷人签字复核人签字单选题备注备注考试日期：多选题年月日总得分一、单项选择题(从下面各题选项中选出一个最恰当的答案，并将相应字母填在下表相应位置中。

每题1分，共80分。

)题号12345678910111213141516171819答案B C D B D A A D C D B A D C A B B C D 题号21222324252627282930313233343536373839答案D D C A D B A C B D A C B C A B D C B 题号41424344454647484950515253545556575859答案B A C A B D C D A C B D A C D C B C D 题号61626364656667686970717273747576777879答案B B C A B D C B B C A B A D C B C A D题号12345考点 3.1a 3.2b 3.2b 3.2b 3.2b 难度12224题号678910考点 3.1c 3.1c 3.1c 3.1c 3.1c 难度33222题号1112131415考点 3.1c) 3.1c 3.1c 3.1c 3.1c 难度32223题号1617181920考点 3.1c 3.1c 3.1c 3.1c 3.1c 难度22433题号2122232425考点 3.1d 3.1d 3.1d 3.1d 3.1d 难度32322题号2627282930考点 3.1d 3.1d 3.1d 3.1d 3.1d 难度22233题号3132333435考点 3.1d 3.1d 3.1d 3.1d 3.1d 难度33333题号3637383940考点 3.1d 3.1d 3.1d 3.1d 3.1d 难度44323题号4142434445考点 3.2a 3.2a 3.2a 3.2a 3.2a 难度3323320 A 40 C 60 D 80 C精品文档题号46474849考点 3.2a 3.2a 3.2a 3.2a难度3322题号51525354考点 3.2b 3.2b 3.2c 3.2c难度4333题号56575859考点 3.3a 3.3a 3.3a 3.3a难度3333题号61626364考点 3.3a 3.3a 3.3a 3.3a难度4333题号66676869考点 3.3a 3.3a 3.3a 3.3a难度3443题号71727374考点 3.4a 3.4a 3.4a 3.4a难度4223题号76777879考点 3.4a 3.4b 3.4b 3.4b难度33331．信息技术服务管理体系的要求类标准是（）。

CCA A言息安全管理体系审核员考试（审核知识与技能）姓名：身份证号：一、单项选择题（从下面各题选项中选出一个最恰当的答案，并将相应字母填在下表相应位置中。

每题i 分，共40分。

）难度按5级划分，1级很容易，答题正确率90鳩上，2级较容易，答题正确率80-90%之间，3级中等，答题正确率70-80%，4级较难，答题正确率50-70%, 5级很难，答题正确率50%以下。

答题正确率在30%以下的题不要出。

对于目标不确定性的影响是 A. 风险评估 B. 风险 C. 不符合 D. 风险处置 2.管理体系是（ ）°A. 应用知识和技能获得预期结果的本领的系统B. 可引导识别改进的机会或记录良好实践的系统C. 对实际位置、组织单元、活动和过程描述的系统D. 建立方针和目标并实现这些目标的体系 3.审核的特征在于其遵循（ ）°A. 充分性、有效性和适宜性B. 非营利性C. 若干原则D. 客观性 4.审核员在（ ）应保持客观性。

A. 整个审核过程B. 全部审核过程C. 完整审核过程D. 现场审核过程5.如果审核目标、范围或准则发生变化，应根据（）修改审核方A.顾客建议P 車两 需^<C.认可规范D.认证程序8.当审核不可行时，应向审核委托方提出（ ）并与受审核方协商一致。

A. 合理化建议B. 替代建议C. 终止建议D. 调整建议9.文件评审应考虑受审核方管6.在审核过程中，出现了利益冲突和能力方面的冋题，审核组的（）可能有必要加以调整。

A.审核员和技术专家B.审核组长和审核员C.规模和组成D.实习审核员）都应对审核的实施负责。

7.从审核开始直到审核完成,A. 管理者代表B. 审核方案人员C. 认证机构D. 审核组长理体系和组织的规模、性质和复杂程度以及审核的（）A .目标和范围B. 方针和目标C. 方案和计划D. 标准和法规10. 在编制审核计划时，审核组长不应考虑以下方面（）A •适当的抽样技术B. 审核组的组成及其整体能力C. 审核对组织形成的风险D. 企业文化11. 对于初次审核和（），审核计划的内容和详略程度可以有所不同。

中国认证认可协会（CCAA）信息技术服务管理体系（ITSMS）审核员考试试卷姓名：成绩：本试卷满分：100分考试时间：120分钟考试形式：闭卷考试得分评分人一单项选择题（每题1分，共10分，请将正确的答案序号添入括号内。

）1.GB/T24405.1-2009/ISO/iec20000-1:2005标准是（）A.业务连续性管理体系的要求B.IT服务管理体系的要求C.信息安全管理体系的规范D.IT服务管理体系指南2.下面不属于服务交付过程的是()A.服务级别管理B.服务连续性和可用性管理C.计划和实施新的或变更的服务D.服务报告3.下列不属于服务策划内容的是()A.管理设施和预算B.定义服务提供方服务管理的范围C.识别需要执行的过程D.识别、评估和管理实现既定目标的问题和风险的方法4.服务级别协议应处于()的控制之下A.能力管理过程B.变更管理过程C.业务关系管理过程D.事件管理过程5.下列关于服务方针的描述不正确的是()A.是可量化的B.与服务提供方的宗旨相适应C.包括对满足服务需求的承诺D.在连续的适宜性方面通过评审6.第二方审核是()A.由组织的相关方进行的审核B.内部审核C.由公正第三方进行的审核D.由独立认证机构进行的审核7.用户致电服务台，说他的终端设备出现故障。

请问这是一个()A.事件B.已知错误C.问题D.变更请求8.哪个服务管理流程负责评估变更请求的风险、影响和业务收益()A.配置管理B.变更管理C.事件管理D.问题管理9.审核员的“能力(capability)”是：A.经证实的个人素质和应用知识和技能的本领B.领导、管理全部审核工作和审核组的能力C.与受审核方、审核委托方沟通的能力D.编制检查表和不合格报告的能力10.下面哪一个描述了安全管理流程中“完整性”的基本概念？()A.检验数据正确性的能力B.数据的正确性C.防止数据被非法访问和使用的保护措施D.对数据的随时访问得分评分人二多项选择题（每题2分，共20分，请将正确的答案序号添入括号内。

CCAA信息平安管理体系审核员考试〔审核知识与技能〕姓名：身份证号：一、单项选择题(从下面各题选项中选出一个最恰当的答案，并将相应字母填在下表相应位置中。

每题1难度按5级划分，1级很容易，答题正确率90%以上，2级较容易，答题正确率80-90%之间，3级中等，答题正确率70-80% ，4级较难，答题正确率50-70%，5级很难，答题正确率50%以下。

答题正确率在30%以下的题不要出。

1．对于目的不确定性的影响是〔〕。

A．风险评估B．风险C．不符合D．风险处置2．管理体系是〔〕。

A．应用知识和技能获得预期结果的本领的系统B．可引导识别改良的时机或记录良好理论的系统C．对实际位置、组织单元、活动和过程描绘的系统D．建立方针和目的并实现这些目的的体系3．审核的特征在于其遵循〔〕。

A．充分性、有效性和适宜性B．非营利性C．假设干原那么D．客观性4. 审核员在〔〕应保持客观性。

A．整个审核过程B．全部审核过程C．完好审核过程D．现场审核过程5. 假如审核目的、范围或准那么发生变化，应根据〔〕修改审核方案。

A．顾客建议B．需要C．认可标准D．认证程序6. 在审核过程中，出现了利益冲突和才能方面的问题，审核组的〔〕可能有必要加以调整。

A．审核员和技术专家B．审核组长和审核员C．规模和组成D．实习审核员7. 从审核开场直到审核完成，〔〕都应对审核的施行负责。

A．管理者代表B．审核方案人员C．认证机构D．审核组长8. 当审核不可行时，应向审核委托方提出〔〕并与受审核方协商一致。

A．合理化建议B．替代建议C．终止建议D．调整建议9. 文件评审应考虑受审核方管理体系和组织的规模、性质和复杂程度以及审核的〔〕A．目的和范围B．方针和目的C．方案和方案D．标准和法规10. 在编制审核方案时，审核组长不应考虑以下方面〔〕A．适当的抽样技术B．审核组的组成及其整体才能C．审核对组织形成的风险D．企业文化11. 对于初次审核和〔〕，审核方案的内容和详略程度可以有所不同。

信息安全管理体系认证人员考试试卷姓名：分数：一、填空题（每题4分，共计40分）1、采用信息安全管理体系是组织的一项性决策。

2、信息安全管理体系通过应用风险管理过程来保持信息的性、性和性，以充分管理风险并给予相关方信心。

3、信息安全在、、时就要考虑信息安全。

4、组织声称符合信息安全管理体系标准时，对于第4章到第10章的要求删减。

5、信息安全管理体系初次审核的第一阶段现场审核不宜少于个审核人日。

6、当客户由于信息安全的原因在申请评审阶段不能提供给认证机构足够的信息时，认证机构应通过审核在客户的现场补充对上述信息的确认，并完成申请评审任务。

这种情况下，认证机构应第一阶段现场审核时间。

7、认证机构应确保客户符合工信部联协[2010]394号文的要求，以及有关主管部门/监管部门对信息安全管理体系认证的管理要求（如工信部2011年第21号公告《工业和信息化部加强政府部门信息技术外包服务安全管理》等）。

8、如果认证机构因为未获得客户的允许或无法满足适用的要求而不能接触相关信息资产，那么认证机构应对审核和认证所受到的影响进行评估并采取相应的措施（例如终等）。

9、审核组成员不宜在审核过程中以任何方式记录受审核客户的。

审核组在离开受审核客户前，宜请受审核客户检查和确认审核组携带的文件、资料和设备中未夹带受审核客户的任何保密或敏感信息。

10、为了确保能够实施有效的审核并确保可靠和可比较的结果，对表B.1中审核时间的减少，不应超过。

二、简答题（每题10分，共计60分）1、实施申请评审以确定所需的审核组能力、选择审核组成员并确定审核时间的人员需要具备哪些知识？2、合同评审信息安全管理体系认证申请的主要内容有哪些？3、申请信息安全管理体系申请者应提交哪些材料？4、参与ISMS审核的审核员，应具有哪些业务管理实践的知识？5、简述信息安全管理体系审核员的评价准则6、简述适宜的信息安全管理专业工作经历有哪些？信息安全管理体系认证人员考试试卷姓名：分数：一、填空题（每题4分，共计40分）1、采用信息安全管理体系是组织的一项战略性决策。

（一）2016年6月份QMS审核真题答案第1部分：单项选择，每题1分，共计40分。

第2部分：多项选择题，每题至少有两个及以上的答案，每题2分，共计10分。

（少选、多选、错选均不得分）第3部分：阐述题每题10分，共计20分46. 【参考答案】应从以下方面关注质量管理体系应用基于风险的思维:1)条款4“组织环境”:组织需要识别分析评审其QMS过程相关的风险和机遇;2)条款5“领导作用”:高层管理者需确保对条款4的承诺,促进基于风险的思维意识,确定并解决会影响产品和服务实现的风险和机遇;3)条款6“"策划”:组织必须识別影响质量管理体系绩效的风险和机遇,并采取适当的行动来解决这些题;4)条款7“支持”:组织应确定并提供应对风险和利用机遇必要资源;5)条款8“运行”:组织需要控制实施过程中的风险和机遇;6)条款9“绩效评价”:组织需要监视、测量、分析和评价所采取的应对风险和机遇的行动的有效性;7)条款10“改进”:组织避免或减少不良影响,提高质量管理体系的绩效。

企业更要关注组织内外部、相关方,确定需要应对的风险和机遇,以便确保质量管理体系能够实现其预期结果,实现持续改进。

47. 【参考答案】例如产品外涂层过程：1)询问相关环节的主要负责人，是否确定并提供了产品外涂层过程运行所需要的环境，识别是否全面，是否包含了温度、卫生、气流、人为因素等要求。

2)查相关过程的识别文件，是否包含了社会和心理因素对产品和服务质量的影响，例如，一线工人的心态、充足的轮班、排班或停工时间，以预防人员筋疲力尽，相应的时间控制等。

3)抽查涂层车间的运行环境监测表，例如抽3-5个月的温度、湿度等测量数据，查是否符合规定要求，有无不符合规定的情况，是否进行了纠正及纠正措施，查相应的评价记录。

4)查涂层材料不一样时，是否重新识别社会、心理、物理等方面的因素，并对其进行控制。

5)现场观察外涂车间内的气流等因素，是否符合要求，现场作业场所是否开展了”工完料尽场地清”等管理。

ITSMS审核员考试审核知识试卷201706一、单选题1、某制造企业A的关键工序由唯一的一台自动控制系统设备完成，该设备系统的运维外包给了一家小型私营公司B，一下哪项是ISO/IEC 20000:2011的要求？（）（A） A与B应签署运维合同或协议，运维合同或协议应考虑A的客户合同以及生产运行要求制定服务内容和指标。

（B） A与B应签署运维合同或协议，由采购部门维护B在A公司合格供应商名录中的地位。

（C） B声称能做到随叫随到，此情景下运维合同或协议可以省略（D）由B完全负责管控，A不必干涉2、投诉处理过程的有关信息的形式应（）（A）不使任何被投诉者处于不利地位（B）不使任何投诉者处于不利地位（C）不使任何外包方处于不利地位（D） IT服务方组织根据情况决定是否向投诉者披露3、某银行信用卡呼叫中心为了提高效率，制定了与每一业务对应的“标准话述”，供坐席人员应答客户关于信用卡使用的问题时使用，依据ISO/IEC20000-1:2011,这些“标准话述”的的维护和更新对应（）（A）事件管理的职责（B）问题管理的职责（C）服务设计的职责（D）服务转换的职责4、以下属于单点故障的情况是（）（A）巡检时发现的唯一故障（B）所有服务器使用一台UPS为供电，数据中心仅有此一台UPS（C）所有的IT设备使用一条专线联网，由于带宽资源充足故未构建其他线路（D）（B）+（C）5、服务连续性管理中，恢复时间目标指（）（A） IT服务复原到正常工作状态的时间（B） IT服务复原到约定的最低可用性水平的时间（C）关键服务恢复到约定的最低可用性水平的时间（D）基础设施服务恢复到约定的可用性水平的时间6、对于个人信息的使用，除法律法规另有规定外，应（）（A）得到个人信息主体的同意并按约定时间及时删除（B）得到个人信息主体所在组织的同意，不须告知个人信息主体。

（C）个人信息持有者自行决定管理措施，不须告知个人信息主体。

（D）得到个人信息主体的同意并尽可能长时间保存。

CCAA信息安全管理体系审核员考试（审核知识与技能)姓名: 身份证号:一、单项选择题(从下面各题选项中选出一个最恰当的答案，并将相应字母填在下表相应位置中.每题1分，难度按5级划分，1级很容易，答题正确率90%以上，2级较容易,答题正确率80-90％之间，3级中等，答题正确率70-80% ，4级较难，答题正确率50-70%，5级很难，答题正确率50%以下。

答题正确率在30%以下的题不要出。

1．对于目标不确定性的影响是（ )。

A．风险评估B．风险C．不符合D．风险处置2．管理体系是（ ).A．应用知识和技能获得预期结果的本领的系统B．可引导识别改进的机会或记录良好实践的系统C．对实际位置、组织单元、活动和过程描述的系统D．建立方针和目标并实现这些目标的体系3．审核的特征在于其遵循（）.A．充分性、有效性和适宜性B．非营利性C．若干原则D．客观性4. 审核员在（）应保持客观性。

A．整个审核过程B．全部审核过程C．完整审核过程D．现场审核过程5。

如果审核目标、范围或准则发生变化，应根据（）修改审核方案。

A．顾客建议B．需要C．认可规范D．认证程序6。

在审核过程中，出现了利益冲突和能力方面的问题，审核组的（)可能有必要加以调整。

A．审核员和技术专家B．审核组长和审核员C．规模和组成D．实习审核员7。

从审核开始直到审核完成，（)都应对审核的实施负责。

A．管理者代表B．审核方案人员C．认证机构D．审核组长8。

当审核不可行时，应向审核委托方提出（）并与受审核方协商一致。

A．合理化建议B．替代建议C．终止建议D．调整建议9. 文件评审应考虑受审核方管理体系和组织的规模、性质和复杂程度以及审核的（ )A．目标和范围B．方针和目标C．方案和计划D．标准和法规10。

在编制审核计划时，审核组长不应考虑以下方面（）A．适当的抽样技术B．审核组的组成及其整体能力C．审核对组织形成的风险D．企业文化11. 对于初次审核和(）,审核计划的内容和详略程度可以有所不同。