すべての情報を見逃したくないですか?

認定試験に合格するためのヒント

最新の試験ニュースと割引情報

当社の専門家による厳選最新情報

はい、ニュースを送ってください

CISM模擬試験であなたの認定試験の準備を高める、認定情報セキュリティ管理者|SPOTO

SPOTOのCISM模擬試験であなたの認定準備を向上させます。無料模擬試験を含む弊社の包括的な模擬試験は、あなたのスキルを磨き、自信を高めるために細心の注意を払って設計されています。豊富な試験問題、サンプル問題、詳細な試験資料にアクセスして、重要な概念の理解を強化します。実際の試験環境を反映した現実的な模擬試験に参加し、正確な解答と問題で徹底的な準備をします。高度な試験シミュレータを利用して、試験の練習を強化し、実際の試験シナリオをシミュレートします。SPOTOを利用して試験の準備を合理化し、CISM (Certified Information Security Manager)認定試験で成功しましょう!
他のオンライン試験を受ける
質問 #1
ある組織が最近実施したリスクアセスメントによって、多くのセキュリティリスク領域が特定された。情報セキュリティマネジャーがこの情報を説明するための最良の選択肢はどれか。
A. リスク登録
B. リスクヒートマップ
C. スパイダー・ダイアグラム
D. バランススコアカード
回答を見る
正解: B
質問 #2
情報セキュリティ戦略委員会に報告するための指標を設定する際、最も重要な検討事項は何ですか。
A. メトリクスの基準値の合意
B. 指標を伝えるためのダッシュボードの開発
C. 組織のセキュリティ状況をリアルタイムで把握する
D. メトリクスの期待値を業界標準に照らしてベンチマークする。
回答を見る
正解: A
質問 #3
一元化されたリスク登録簿が作成され、優先順位が付けられた結果、いくつかの重大なリスクが特定された。情報セキュリティ管理者の最も重要な行動は次のとおりである:
A. リスク処理の選択肢を経営幹部に提供する。
B. リスクを低減するためのコントロールを設計し、実施する。
C. リスクの扱い方について外部の第三者に相談する。
D. 従業員にリスクを認識させる。
回答を見る
正解: A
質問 #4
リスクアセスメントプロセスにおいて、脅威の優先順位を決定する際に考慮すべき最も重要なものはどれか。
A. 脅かされるシステムの重要性
B. 悪用された脆弱性の深刻度
C. 事業への潜在的影響
D. 脅威行為者の能力
回答を見る
正解: A
質問 #5
新規に取得したビジネスアプリケーションのセキュリティ対策を設計するときに、情報セキュリ ティマネージャが最も考慮すべきことはどれか。
A. アプリケーションの既知の脆弱性
B. ITセキュリティ・アーキテクチャのフレームワーク
C. 現行規制の費用便益分析
D. アプリケーションがサポートするビジネスプロセス
回答を見る
正解: C
質問 #6
セキュリティ・ポリシーを作成する主な目的は、以下のとおりである:
A. 経営陣のガバナンス戦略を実行する。
B. セキュリティタスクの実行方法を確立する。
C. 経営陣のセキュリティに対する期待を伝える。
D. 許容されるセキュリティ境界を定義する。
回答を見る
正解: B
質問 #7
コンピュータシステムへの外部からの侵入が成功した場合の最も適切な指標はどれか。
A. DMZ内での予期せぬプロトコルの使用。
B. 不正なURLの予期せぬ増加。
C. ログイン失敗回数の減少。
D. ログイン失敗件数の急増。
回答を見る
正解: A
質問 #8
組織が新たなプライバシー法制の影響を受ける可能性の程度を評価する上で、情報セキュリティ管理者はFIRSTを行うべきである:
A. 法令遵守を達成するための運営計画を策定する。
B. プライバシーの構成要素を含むシステムとプロセスを特定する。
C. 準拠するまで個人情報の収集を制限する。
D. 類似の要件を含む可能性のある他国の個人情報保護法を特定する。
回答を見る
正解: B
質問 #9
ビジネスプロセスオーナー向けのセキュリティ研修プログラムに、最も優先的に含めるべきものはどれか。
A. セキュリティ・リスクの影響
B. アプリケーションの脆弱性
C. アプリケーションの回復時間
D. 報告されたセキュリティ・インシデントのリスト
回答を見る
正解: A
質問 #10
ファイル内のデータが変更されていないことを保証するものはどれか。
A. ファイルの更新日を調べる
B. 対称暗号化によるファイルの暗号化
C. 不正アクセスを防止するために厳格なアクセス制御を行う。
D. ファイルのハッシュを作成し、ファイルのハッシュを比較する。
回答を見る
正解: D
質問 #11
強力なパスワードポリシーの導入は、ある組織の今年の情報セキュリティ戦略の一部である。ある事業部門は、この戦略が最近開発されたモバイルアプリケーションの顧客の導入に悪影響を及ぼす可能性があると考え、このポリシーを導入しないことを決定した。情報セキュリティマネジャーが取るべき行動として、最も適切なものはどれか。
A. 方針を実施しない場合のリスクと影響を分析する。
B. モバイルアプリケーションのパスワードポリシーを策定し、実施する。
C. 方針の不実施を上級管理職に報告する。
D. 類似のモバイルアプリケーションとベンチマークを行い、ギャップを特定する。
回答を見る
正解: C
質問 #12
ある組織が、新しいプロセスのリスクに対処するために、追加のセキュリティ管理策を導入することを決定した。これがその例である:
A. リスクを排除する。
B. リスクの移転
C. リスクを軽減する D
回答を見る
正解: C
質問 #13
アプリケーション開発にセキュリティを統合するための最も効果的なアプローチはどれか。
A. セキュリティ要件の定義
B. 脆弱性スキャンの実行
C. ユーザー受入テストのサインオフにセキュリティを含める
D. セキュリティモデルの並行開発
回答を見る
正解: A
質問 #14
意図的な内部セキュリティ侵害を防ぐ最も効果的な方法はどれか。
A. 従業員の選考
B. よく設計されたファイアウォール・システム
C. よく設計された侵入検知システム(IDS)
D. バイオメトリクス・セキュリティ・アクセス制御
回答を見る
正解: B
質問 #15
組織内でデータ分類を実施するための主な前提条件は、次のうちどれですか?
A. 職務上の役割の定義
B. リスクアセスメントの実施
C. データ所有者の特定
D. データ保持ポリシーの確立
回答を見る
正解: C
質問 #16
組織の情報セキュリティリスクプロファイルをよりよく理解するために、上級管理職に最も適した情報はどれか。
A. 事業運営に影響を与えるシナリオ
B. 顧客サービスを混乱させるシナリオ
C. ビジネス目標に影響を与えるシナリオ
D. 金銭的影響のあるシナリオ
回答を見る
正解: C
質問 #17
リスク評価は継続的に実施されるべきである:
A. コントロールは継続的に変化する。
B. ハッキング事件が増加している。
C. リスクの変化について経営陣は最新情報を入手すべきである。
D. 情報セキュリティの変化に影響を与える要因
回答を見る
正解: A
質問 #18
脆弱性が認識されているWebアプリケーションを使用する際に、最も重要なアクションは次のうちどれですか?
A. アプリケーションファイアウォールを導入する。
B. ホストベースの侵入検知を導入する。
C. スパイウェア対策ソフトをインストールする。
D. アプリケーションレベルのログを監視する。
回答を見る
正解: A
質問 #19
パスワードの自動同期を導入する主な利点は、以下のとおりである:
A. 管理業務全体の負担を軽減する。
B. 多階層システム間のセキュリティを高める。
C. パスワードの変更頻度を減らすことができる。
D. 二要素認証の必要性を減らす。
回答を見る
正解: A
質問 #20
経験の浅い情報セキュリティマネジャーが、内部監査部門に主要なセキュ リティ管理の設計と実装を任せている。最も大きなリスクはどれか。
A. 不適切な統制の実施
B. 利益相反
C. 監査憲章違反
D. 不十分な監査スキル
回答を見る
正解: B
質問 #21
情報セキュリティリスクの評価と管理に経営陣が関与することの最大の利点は、経営陣が情報セキュリティリスクの評価と管理に関与できることである:
A. 組織のリスクをよりよく理解する。
B. テクニカルリスクとビジネスリスクのバランスを取ることができる。
C. セキュリティ管理よりも客観的である。
D. セキュリティ・アーキテクチャをよりよく理解する。
回答を見る
正解: B
質問 #22
特定の資産に与えるべき保護レベルの決定 BESTによって決定される:
A. 脅威の評価。
B. 脆弱性評価。
C. リスク分析。
D. 企業のリスク選好度。
回答を見る
正解: C
質問 #23
残留リスクが許容リスクレベルを超えている場合の情報セキュリティマネジャーの行動として、最も適切なものはどれか。
A. 費用便益分析の実施
B. 追加のコントロールを推奨する
C. リスクアセスメントの実施
D. 経営に委ねる
回答を見る
正解: B
質問 #24
災害復旧計画を策定する際に考慮すべき最も重要なものはどれか。
A. 事業継続計画(BCP)
B. ビジネスインパクト分析(BIA)
C. 費用便益分析
D. 実現可能性評価
回答を見る
正解: B
質問 #25
新しいビジネスプロセスにセキュリティ管理が実装されていることを検証するのに最も適切なものはどれか。
A. 情報セキュリティポリシーに従ってプロセスを評価する。
B. 業界慣行と比較してプロセスをベンチマークする。
C. 認知された管理フレームワークの使用を検証する。
D. 情報セキュリティのベストプラクティスに適合しているか、プロセスをレビューする。
回答を見る
正解: A
質問 #26
ある組織は、不正のリスクを最小限に抑え、相互研修を奨励するために、定期的なスタッフのローテーションを採用している。この慣行に最も適した権限付与方針はどれか。
A. マルチレベル
B. 役割ベース
C. 裁量
D. 属性ベース
回答を見る
正解: B
質問 #27
ある最高経営責任者(CEO)が、組織のポリシーに準拠していないモバイルデバイ スから会社の文書にアクセスするよう要求してきた。情報セキュリティマネジャーは、次のことを行う必要があります:
A. サードパーティのソリューションを評価する。
B. 追加のセキュリティ管理を導入する。
C. ビジネスリスクを評価する。
D. 例外承認プロセスを開始する。
回答を見る
正解: C
質問 #28
情報セキュリティ戦略の効果的な実施に最も貢献するのはどれか。
A. セキュリティメトリクスの報告
B. 定期的なセキュリティ意識向上トレーニング
C. 経営幹部による承認
D. セキュリティ基準の実施
回答を見る
正解: C
質問 #29
厳密な「知る必要性」のある情報アクセスポリシーを持つ組織が、ナレッジマネジメントのイントラネットを立ち上げようとしている。既存のセキュリティポリシーの遵守を確実にするために、最も重要な活動はどれか。
A. 公開前に内容をチェックするための管理手順を策定する。
B. 新しいウェブサイトをより広く利用できるように、組織の方針を変更する。
C. ウェブサイトへのアクセスが上級管理職と取締役会に限定されるようにする。
D. 機密情報を含む文書をパスワードで保護する。
回答を見る
正解: A
質問 #30
災害復旧における復旧時点目標(RPO)の貢献は以下の通りである:
A. バックアップ戦略を定義する。
B. 単一障害点を排除する。
C. MTBF(平均故障間隔)を短縮する。
D. 停止期間を最小限にする。
回答を見る
正解: D
質問 #31
ウェブアプリケーションのリスクを評価し、軽減した後、誰が残存するアプリケーションリスクの受け入れを決定すべきか?
A. 情報セキュリティ責任者
B. 最高情報責任者(CIO)
C. 事業主
D. 最高経営責任者(CFO)
回答を見る
正解: C
質問 #32
契約の情報セキュリティレビューを行う最も重要な理由は、次のうちどれですか。以下を確実にするため:
A. 契約当事者は履行できる。
B. 機密データは契約に含まれない。
C. 適切なコントロールが含まれている。
D. 監査権は必要条件である。
回答を見る
正解: C
質問 #33
変更管理において、情報セキュリティへの対応を最も確実にするものはどれか。
A. 変更に関するセキュリティ監査の実施
B. 変更諮問委員会に対するセキュリティ・トレーニングの提供
C. 変更管理に関する上級管理職のサインオフの要求
D. セキュリティの観点から変更を見直す
回答を見る
正解: D
質問 #34
ある組織が外部に委託しているファイアウォールの設定が不十分で、不正アクセスを許した結果、48時間のダウンタイムが発生した。情報セキュリティ管理者が次に取るべき行動はどれか。
A. ベストプラクティスに従ってファイアウォールを再構成する。
B. 問題が修正されたことを裏付ける証拠を入手する。
C. 契約を見直し、サービス提供者の説明責任を改善する。
D. サービス提供者に損害賠償を求める。
回答を見る
正解: B
質問 #35
相反する目的が情報セキュリティプロセスの有効性を損なう可能性が最も高いのは、情報セキュリティマネジメントが行われている場合である:
A. ネットワーク・インフラストラクチャ・マネージャーに報告する。
B. 情報技術以外の分野。
C. 部分的に外部のセキュリティ・コンサルタントが配置されている。
D. 変更管理機能との組み合わせ
回答を見る
正解: D
質問 #36
リスク管理は最も費用対効果が高い:
A. 継続的に行われる場合。
B. セキュリティプログラムのビジネスケースを策定する。
C. セキュリティプログラム開発の初期段階。
D. 他の企業保証機能に統合された場合。
回答を見る
正解: D
質問 #37
シングルサインオンのリスクとして最も大きいものはどれか?
A. 企業のアクセス制御プロセスの単一障害点である。
B. 一人のユーザーによるパスワードの不注意は、インフラ全体を脆弱にする可能性がある。
C. シングルサインオンと他のインフラとの統合は複雑である。
D. 一人の管理者が、職務分掌なしにシングルサインオン・ソリューションを維持する。
回答を見る
正解: A
質問 #38
脆弱性スキャンによって、ある重要なビジネスアプリケーションに重大なリスクが検出された。情報セキュリティマネジャーが最初にすべきことはどれか。
A. 経営幹部にビジネスリスクを報告する。
B. 事業主にリスクを確認する。
C. リスク登録簿を更新する。
D. 緊急変更リクエストを作成する。
回答を見る
正解: B
質問 #39
情報セキュリティ意識向上プログラムが最も効果的なのは、以下のような場合である:
A. ターゲットごとにカスタマイズされている。
B. 経営陣がスポンサーとなっている。
C. コンピュータベースのトレーニングによって強化される。
D. 従業員オリエンテーションで実施
回答を見る
正解: A
質問 #40
レガシーアプリケーションに新たなリスクが存在するかどうかを判断する方法として、最も適切なものはどれか。
A. 定期的なリスク評価
B. 自動脆弱性スキャン
C. 第三者侵入テスト
D. リスク登録の頻繁な更新
回答を見る
正解: A
質問 #41
高セキュリティのデータセンターを保護するバイオメトリック・アクセス・コントロール・システムを構成する場合、システムの感度レベルを設定する必要がある:
A. 誤判定率(FRR)が高くなる。
B. より低いクロスオーバーエラー率に。
C. より高い偽受入率(FAR)へ。
D. 正確にはクロスオーバーのエラー率。
回答を見る
正解: A
質問 #42
リスクマネジメントプログラムの第一の目標はどれか。
A. 脅威に対する予防策を実施する。
B. 内在するリスクのビジネスへの影響を管理する。
C. 組織の方針の遵守を管理する。
D. 組織のリスク選好度を下げる。
回答を見る
正解: B
質問 #43
企業のセキュリティ管理体制の確立に経営幹部が関与する主な理由はどれか。
A. 企業セキュリティの望ましい状態を決定する
B. 最低限必要な管理レベルを確立する
C. 企業のセキュリティに関する監査人の勧告を満たすために
D. 企業のセキュリティに関する業界のベストプラクティスが守られていることを確認する。
回答を見る
正解: A
質問 #44
ある組織は、ハイブリッド・データ・インフラを採用し、すべての非中核アプリケーションをクラウド・サービス・プロバイダーに移行し、すべての中核ビジネス機能を社内に維持しようとしている。情報セキュリティマネジャーは、深層防御戦略を使用する必要があると判断しました。この戦略を最もよく表しているのは次のうちどれですか?
A. クラウドサービス・アプリケーションの多要素ログイン要件、タイムアウト、複雑なパスワード
B. インフラ内のネスト化されたファイアウォールの展開
C. C
D. 役割ベースのアクセス制御(RBAC)の厳格な実施
回答を見る
正解: C
質問 #45
組織の契約管理プロセスにおいて、最も効果的なセキュリティ成果をもたらすのはどれか。
A. ランダム侵入テストを含むセキュリティ評価の拡大
B. 契約解除に伴う資産処分への担保評価の拡大
C. 提案依頼の段階でベンダーのセキュリティベンチマーク分析を実施する。
D. 提案依頼の段階でセキュリティ要件が確実に定義されていること
回答を見る
正解: C
質問 #46
リスクを適切に軽減するための予防策が実行不可能な場合、情報セキュリティマネジャーが実行すべき最も重要な行動はどれか。
A. 脆弱性を評価する。
B. 影響を管理する。
C. 潜在的な脅威を評価する。
D. 許容できないリスクレベルを特定する。
回答を見る
正解: D
質問 #47
バッファオーバーフローを説明するのに最も適切なものはどれか。
A. プログラムには、セキュリティ上のリスクをもたらす、隠された意図しない機能が含まれています。
B. データをキャプチャする秘密チャネルの一種。
C. 通常業務を妨害するように設計された悪意のあるコード。
D. 関数は、その関数が扱える以上のデータで実行される。
回答を見る
正解: D
質問 #48
ある組織の侵入検知システム(IDS)のパフォーマンスを見直す際に、最も懸念される傾向はどれか。
A. 偽陰性の減少
B. 偽陽性の増加
C. 偽陽性の減少
D. 偽陰性の増加
回答を見る
正解: D
質問 #49
サービスプロバイダとの契約交渉の最終決定における情報セキュリティマネジャーの役割は何か。
A. 外部委託プロセスのセキュリティ基準を更新する。
B. 定期監査に関する条項が含まれていることを確認すること。
C. プロバイダからセキュリティ標準の認証を取得する場合
D. アウトソーシングプロセスのリスク分析を行う。
回答を見る
正解: A
質問 #50
情報セキュリティ管理者が、セキュリティ関連活動を適切に監視するために、FIRST を確立すべきものはどれか。
A. 内部報告ルート
B. セキュリティ機能の説明責任
C. 定期的なセキュリティ評価
D. コンピュータシステムのログの定期的なレビュー
回答を見る
正解: A
質問 #51
経営陣が企業のビジネス戦略を変更する場合、既存の情報セキュリティ対策を評価し、新たな情報セキュリティ対策を選択するために使用すべきプロセスはどれか。
A. リスク管理
B. 変更管理
C. アクセス制御管理
D. 構成管理
回答を見る
正解: A
質問 #52
情報セキュリティマネジャーが変更要求を評価する際に最も重要なことはどれか。
A. リクエストはプロセスオーナーによって承認される。
B. リクエストはビジネスに付加価値を与える。
C. 残存リスクはリスク許容範囲内である。
D. コンティンジェンシープランを作成した。
回答を見る
正解: D
質問 #53
災害復旧計画を策定する際、システムを復旧させる順番に優先順位をつけるのに最も役立つのはどれか。
A. ビジネスインパクト分析(BIA)の実施
B. 各システムのデータ量の測定
C. 情報セキュリティポリシーの見直し
D. 事業戦略の見直し
回答を見る
正解: A
質問 #54
リスクマネジメントの目的は、リスクを最小限のレベルまで低減することである:
A. セキュリティ・ポリシーに準拠している
B. 業界や規制環境を考慮した実践的なものであること。
C. 技術的および財政的な観点から達成可能である。
D. 組織の好みを考慮すれば、受け入れられる。
回答を見る
正解: A
質問 #55
組織がセキュリティリスクを監視する最も良い方法はどれか。
A. 主要業績評価指標(KPI)の分析
B. 外部リスク情報サービスの利用
C. ダッシュボードを使った脆弱性の評価
D. 主要リスク指標(KRI)の分析
回答を見る
正解: D
質問 #56
ウェブベースのクロスドメイン攻撃から保護する最善のものはどれか。
A. データベースの堅牢化
B. アプリケーションコントロール
C. ネットワークアドレス指定スキーム
D. 暗号化制御
回答を見る
正解: B
質問 #57
組織の個人情報保護責任者を支援する場合、プライマシー要件に関する情報セキュリティマネジャーの主な役割は次のうちどれですか?
A. 個人データの転送を監視する
B. プライバシー啓発プログラムの実施
C. 適切な管理体制の確保
D. データ分類の決定
回答を見る
正解: C
質問 #58
明確な情報セキュリティ戦略を策定することの最も重要な利点はどれか。
A. 組織の従業員による賛同のサポート
B. 最優先事項への資源配分
C. リスク許容閾値からの逸脱の防止
D. インシデント対応プロセスの成熟度の向上
回答を見る
正解: C
質問 #59
継続計画にエンドユーザーを参加させることの第一の利点は、エンドユーザーが継続計画に参加できることである:
A. 情報セキュリティ管理よりも客観的である。
B. テクニカルリスクとビジネスリスクのバランスを取ることができる。
C. 特定のビジネス・ニーズをよりよく理解している。
D. ビジネスへの全体的な影響を見ることができる。
回答を見る
正解: B
質問 #60
新しいアプリケーションを開発するとき、セキュリティ要件へのコンプライアンスを確保するための最も適切なアプローチはどれか。
A. 開発者にセキュリティトレーニングを提供する。
B. 詳細な受入基準を作成する。
C. 変更管理プロセスを遵守する。
D. セキュリティギャップ分析を実施する。
回答を見る
正解: B
質問 #61
情報セキュリティプログラム要件をベンダ管理に統合する最も大きなメリットはどれか。
A. サプライチェーンにおけるリスク削減能力
B. 業界のコンプライアンス要件を満たす能力
C. サービス・レベル・アグリーメント(SLA)を定義する能力
D. ベンダーのパフォーマンスを向上させる能力
回答を見る
正解: A
質問 #62
情報セキュリティの最も重要な機能はどれか。
A. 組織のリスク管理
B. セキュリティ侵害による財務的影響の軽減
C. システムの脆弱性の特定
D. セキュリティ・インシデントの防止
回答を見る
正解: A
質問 #63
脅威と脆弱性の評価が重要なのは、それが第一義的な理由である:
A. リスクの推定に必要
B. 管理目標設定の基礎
C. 組織のセキュリティ態勢の要素
D. 安全投資の確立に使用される
回答を見る
正解: A

送信後に回答を表示する

質問の回答を得るには、電子メールと WhatsApp を送信してください。

注: 正しい試験結果を得ることができるように、電子メール ID と WhatsApp が有効であることを確認してください。

Eメール:
WhatsApp/電話番号:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.