2025年信息系统安全专家变更管理与配置审计专题试卷及解析.pdfVIP

2025年信息系统安全专家变更管理与配置审计专题试卷及解析1

2025年信息系统安全专家变更管理与配置审计专题试卷及

解析

2025年信息系统安全专家变更管理与配置审计专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在变更管理流程中，以下哪个阶段主要负责评估变更对系统安全性的潜在影响？

A、变更请求提交

B、变更评估与审批

C、变更实施

D、变更回顾

【答案】B

【解析】正确答案是B。变更评估与审批阶段是变更管理流程中专门用于全面评估

变更影响（包括安全性、性能、合规性等）的关键环节。此阶段会组织相关技术专家、

安全专家和业务代表进行评审。A选项是发起阶段，C选项是执行阶段，D选项是事后

总结阶段，它们都不承担核心的评估职责。知识点：变更管理流程阶段。易错点：容易

将“评估”与“实施”或“回顾”混淆，需明确各阶段的核心任务。

2、配置审计的主要目的是什么？

A、开发新的系统配置

B、验证配置项（CI）的实际状态与配置管理数据库（CMDB）中的记录是否一致

C、批准所有变更请求

D、编写用户操作手册

【答案】B

【解析】正确答案是B。配置审计的核心任务是通过检查和验证，确保配置项的物

理或逻辑存在状态与CMDB中记录的配置信息（如版本、位置、关系等）完全吻合，是

保障配置数据准确性的关键活动。A是配置管理的实施活动，C是变更管理活动，D是

文档编写工作，均不属于配置审计的范畴。知识点：配置审计的定义与目标。易错点：

将配置审计与配置管理的其他活动（如配置识别、配置控制）相混淆。

3、在ITIL框架中，紧急变更（EmergencyChange）与标准变更（StandardChange）

最关键的区别在于？

A、变更的发起人不同

B、变更的审批流程和速度

C、变更的实施成本

D、变更涉及的系统模块

【答案】B

2025年信息系统安全专家变更管理与配置审计专题试卷及解析2

【答案】B。紧急变更是为了修复对业务造成重大影响的故障而需要快速实施的变

更，其审批流程被大幅简化，速度极快。标准变更是风险低、重复性高、已有预先批准

流程的变更。两者最本质的区别在于处理流程的紧急性和审批的严格程度。A、C、D都

可能存在差异，但不是最核心的区别。知识点：变更类型分类。易错点：容易关注表面

差异（如成本、模块），而忽略了流程设计上的根本不同。

4、配置基线（ConfigurationBaseline）在配置管理中的作用是？

A、记录所有配置项的详细历史变更

B、作为一个稳定参考点，用于后续变更控制和审计

C、自动生成系统性能报告

D、定义所有用户的访问权限

【答案】B

【解析】正确答案是B。配置基线是在某个特定时间点，经过正式批准并作为后续

工作依据的一组配置项。它为开发、测试、生产等环境提供了一个稳定的、可回溯的参

考标准，是变更控制和审计的基石。A是配置状态报告的功能，C和D与配置基线无

直接关系。知识点：配置基线的概念与作用。易错点：将基线与配置项的全部历史记录

混淆，基线是某个时间点的快照，而非连续记录。

5、当一项变更请求被拒绝后，正确的处理步骤是？

A、立即删除该变更请求记录

B、记录拒绝原因，并通知请求人

C、私下与请求人沟通，尝试绕过流程

D、将请求转交给更高层级的经理

【答案】B

【解析】正确答案是B。变更请求被拒绝后，必须遵循流程，在变更管理工具或系

统中明确记录拒绝的理由，并正式通知变更请求人，确保过程的透明、可追溯和闭环。

A破坏了审计追踪，C违反了变更管理原则，D不是标准处理步骤，除非请求人提起申

诉。知识点：变更请求的生命周期管理。易错点：认为被拒绝的请求就没有价值，忽略

了记录和沟通的重要性。

6、以下哪项不属于配置审计的类型？

A、物理配置审计

B、功能配置审计

C、性能配置审计

D、过程配置审计

【答案】C

【解析