a) 应足够满足服务完整性需要,考虑服务要求和与CI有关的风险 b) 应作为配置审计程序的一部分每年进行评估 c) 应与客户就具体的服务进行协商 d) 应由高级管理层决定该政策
35. ISO/IEC 20000第一部分对应紧急变更有何要求? a) 紧急变更不应在正常服务时间内安装
b) 应由变更顾问委员会开会批准紧急变更
c) 紧急变更应尽快进行处理,在部署到真实环境之前不需要测试 d) 应有管理紧急变更的程序
36. 以下哪句话是对发布和部署管理的目标的最佳描述?
a) 为交付、分发和跟踪发布中的一个或多个变更进入真实环境 b) 为保证所有经批准的变更在投放到真实环境之前都经过测试 c) 为保证在发布进入真实环境之前完成验收测试
d) 为了以受控的方式将变更交付到真实环境中的现有服务中
37. 当服务提供商希望证明符合ISO/IEC的要求时,以下哪句话是关于流程方面的正确说法?
a) 所有被识别出的流程都要到位,但其中部分要求实现起来过于昂贵则可忽略 b) 所有被识别出的流程和要求都必须实施 c) 对于不同类型的服务提供商来说,某些流程要比另一些流程重要,根据服务提
供商的类型不同可忽略部分要求
d) 与持续改进相关的流程是可选的,但所有其他流程都是必须的
38. 多少个一般不符合项构成严重不符合? a) 两个 b) 四个
c) 两者完全不同,彼此之间没有关系
d) 这种区别没有正式定义,取决与具体的环境
39. 事件管理流程可以从哪份文档获得有关何时有必要将事件升级的信息? a) 服务改进计划 b) 服务目录 c) 组织结构图 d) 服务级别协议
40. 当某个软件包的最新版本被安装到某个台式机时,它可能会影响其它软件包。哪
个流程负责检查和判断其它软件包是否有必要测试或者重新安装? a) 变更管理
b) IT服务持续性管理 c) 问题管理
d) 发布和部署管理
二、多项选择题( 每题3分 ):
1. 以下哪句话不符合第1部分的要求?
a) 几项有资深技术专家负责的变更在实施前没有经过测试
b) 由于技术原因,访问CMDB数据库时必须在服务提供方的主数据中心才能访问 c) 安装供应厂家发布的补丁包,因厂家已经测试过了而没有经过测试 d) 本次内部审计计划没有针对变更流程的审计
2. 你正在审计的服务提供商将其服务台外包给第三方供应商,以下哪些方面需要到位?
a) 供应商采购程序
b) 关键流程衡量标准的定义 c) 供方管理流程
d) 事件和服务请求管理流程的负责人
3. 在为服务进行预算和核算时,除了服务资产以外还需要包括以下哪些方面? a) 共享资源 b) 开销
c) 外部提供的服务 d) 人员工资
4. 需要描述每一个服务报告。在这个描述中需要特别包含以下哪类信息? a) 报告的标识 b) 报告的频率
c) 报告发起者的姓名 d) 使用的数据源
5. 应根据以下哪个方面识别服务连续性和服务可用性要求? a) 服务级别协议 b) 风险评估 c) 商业计划 d) 服务要求
6. 以下哪些方面需要作为服务报告的一部分进行报告? a) 预算 b) 趋势
c) 满意度分析 d) 不符合
7. 以下论述错误的是:
a) 最高管理者指在最高层指挥和控制服务并确定服务要求的一个人或一组人; b) 服务提供方的需求也可以属于服务要求;
c) 当一个事件不能按照服务级别协议的约定被解决时,需要将它记录为问题,转有问题管理过程解决; d) SMS内部的开发团队、作为二线支持人员的服务器团队、数据库团队都属于内
部团体。
8. 对于条款5-9中的过程,服务提供方应识别所有由其它方全部或部分运行的过程。
并要求,以下论述错误的是:
a) 当某过程全部由供方运行时,申请ISO20000的服务提供方应要求供方通过ISO20000认证;
b) 顾客运行部分过程时,服务提供方可以将责任转移给顾客 c)
当内部团体运行部分过程时,服务提供方应通过服务级别管理过程来管理内部团体;
d) 当某过程全部由供方运行时,并且供方通过了ISO20000认证,应交由供方控
制过程改进的策划
9. ISO/IEC20000:2011中控制过程要求:
a) 应对变更请求进行记录和分类,并根据对变更请求的分类对配置项进行分类; b) 建立变更管理策略,明确对服务或顾客有潜在重大影响的变更的判定准则; c) 应对批准的变更进行开发和测试; d) 发布策略应与变更管理过程相一致,并包括相关变更请求、已知错误和通过发
布所关闭问题的引用
10. 针对ISO/IEC20000:2011 6.6的审核,下列描述正确的是:
a) 抽查《信息安全事件记录表》,是否记录和调查了所有的安全事件,并采取的
适当的管理措施; b) 依据《服务级别协议》,验证是否具有信息安全策略; c)
应验证信息安全策略的内容是否传达给有关人员,包括服务管理人员、客户、
供应商
d) 如果一个组织已经获得ISO/IEC27000的认证,可以引用ISO/IEC27000的审核
结论,不用再重新审核;
11. 针对ISO/IEC20000:2011 解决过程,下列描述正确的是: a) 问题所需的配置项变更应通过提交变更请求解决 b) 重大事件就是最高优先级的事件;
c) 针对问题的分类可采用事件的分类标准; d) 事件服务优先级的因子为影响程度和紧急程度;
12. 针对ISO/IEC20000:2011 6.5能力管理,下列描述正确的是:
a) 服务提供方的能力计划必须要考虑到人员、技术、信息和财务资源; b) 服务提供方的能力计划必须要考虑到预测的服务需求
c) 服务提供方的能力计划必须要考虑其所服务顾客的能力;
d) 服务提供方的能力计划必须要考虑到对可用性、服务连续性和服务级别的预期
影响;
三、问答题(每题7分)
1. 最高管理层应对其策划、建立、实施、运行、监视、评审、保持和改
进SMS及服务的承诺提供证据,结合ISO20000标准,请说明管理者通过什
么活动来实现其管理承诺。
2. 管理评审的输入和输出包括哪些内容?
四、阐述题(每题15分)
1. 当你审核某公司服务级别管理实施情况时,请描述你的审核思路?
2. 针对8.1事件和服务请求管理中关于重大事件的审核,制定检查表。
五、案例研究(请根据案例描述,判断是否存在不符合,如果存在,请指出不符合事实,
并描述理由、不符合条款以及不符合严重程度,如果存在多个不符合,请分别指出;如果判断不存在不符合,请陈述理由)(每题10分) 1. 2008年2月1日,审核员到某公司进行ITSMS评审。公司的配置管理数据库中记
录的一台业务系统服务器的使用内存为4G,审核员查看了服务器配置表,发现
最新配置为6G,系统管理员说因为内存不够用,所以自己就增加内存了。
2. 审核员在现场审核时用户提出网上办公系统较慢,观察发现服务器的CPU及内存
使用接近饱和状态,查服务器能力报告,发现没有这方面的记录,系统管理员说
这些问题他们都知道,不用再记录了。
3. 审核员从网络管理员那里了解到,防火墙在每个星期五早上都会定期失效,但查
阅事件记录中却没有发现这些事件的记录,网络管理员解释说他早就知道这个问
题了,所以没有必要再记录了。
4. 审核员检查服务器配置时发现,有一个网卡的状态是禁用状态,服务器管理员解
释说这是备用网卡,检查配置数据库,配置系统显示此网卡的现有状态是备用,最近一次的配置基线中此网卡显示为启用状态,此网卡没有关联的变更记录,服务器管理员解释说前几天信息安全工程师例行检查时建议禁用此网卡会提高安全性,考虑到此网卡并没有关联任何服务,就直接禁用了此网卡。