すべての情報を見逃したくないですか?

認定試験に合格するためのヒント

最新の試験ニュースと割引情報

当社の専門家による厳選最新情報

はい、ニュースを送ってください

CRISC模擬試験であなたのISACA受験準備を強化しよう

SPOTOのISACA CRISC試験問題集はあなたのCertified in Risk and Information Systems Control (CRISC) 資格取得をより効果的にします。リスク管理、利害関係者への価値提供、ビジネス回復力の最適化についての理解を深めるために作られた包括的な試験問題と解答に飛び込んでみましょう。SPOTOの試験問題と試験準備資料で、アジャイル方法論に基づいた積極的なアプローチを採用し、複雑なリスク状況を効果的にナビゲートします。合格に役立つ貴重な学習教材と試験リソースにアクセスできます。現実的な模擬試験で試験環境をシミュレートし、自信を高めます。SPOTOで準備をし、CRISC認定プロフェッショナルになって、組織全体でリスク管理の卓越性とビジネスの成功を推進しましょう。
他のオンライン試験を受ける
質問 #1
情報システム統制を設計する際に、第一に考慮すべきはどれか。
A. IT戦略計画
B. 既存のIT環境
C. 組織戦略計画
D. 現在のIT予算
回答を見る
正解: C
質問 #2
リスクヒートマップ上の1つのデータポイントから解釈できるものはどれか?
A. リスク選好
B. リスクの大きさ
C. リスクへの対応
D. リスク許容度
回答を見る
正解: B
質問 #3
システム停止に対するリスク許容度が低いウェブベースのサービスプロバイダーが、オンラインセキュリティに関する現在のリスクプロファイルを見直している。次のうち、経営幹部に報告することが最も適切なものはどれですか?
A. 分散型サービス妨害(DDoS)攻撃の増加
B. フィッシング攻撃の増加
C. 修正されたウェブ・セキュリティ脆弱性の減少
D. サービス・レベル・アグリーメント(SLA)の達成度の低下
回答を見る
正解: A
質問 #4
ITリスクプロファイルのリスクレベルが低下し、経営陣のリスク許容度を下回っている場合、次のうち最も推奨されるのはどれでしょうか?
A. 関連するリスクシナリオの数を減らす。
B. 管理環境を最適化する。
C. リスク選好度を現在のリスクレベルに合わせる。
D. リスク管理予算を削減する。
回答を見る
正解: B
質問 #5
ある組織は、新たな規制の結果、変更を実施しなければならない。このような変更に備えるために、リスク実務者が最初に行うべきことはどれか?
A. 法務部門を関与させる。
B. ギャップ分析を行う。
C. 代償措置を実施する。
D. リスクプロファイルを見直す。
回答を見る
正解: B
質問 #6
あなたとプロジェクトチームは、プロジェクトにおけるいくつかのリスク事象を特定し、リ スク登録簿に記録しました。イベントの記録の一部には、リスクオーナーを特定することが含まれています。リスクオーナーとは誰ですか?
A. リスクオーナーとは、リスク事象を監視する当事者である。
B. リスクオーナーとは、リスク事象が問題となった場合に、その費用を負担する当事者である。
C. リスクオーナーとは、リスク事象を発生させた当事者のことである。
D. リスク所有者とは、リスク事象に対応する権限を有する当事者である。
回答を見る
正解: D
質問 #7
IT関連のリスクを特定するために情報を収集する場合、リスク実務者はまずITに焦点を当てるべきである:
A. セキュリティポリシー
B. プロセスマップ
C. リスク許容度、
D. リスク選好度
回答を見る
正解: A
質問 #8
企業の重要なリスク指標を決定する役割の担い手は、次のうちどれでしょう?それぞれの正解は、解決策の一部を表しています。2つ選びなさい。
A. ビジネスリーダー
B. 上級管理職
C. 人的資源
D. 最高財務責任者
回答を見る
正解: AB
質問 #9
ファイアウォールが企業のセキュリティポリシーに準拠して構成されていることを保証する最善のものはどれか。
A. ファイアウォール管理者にインタビューする。
B. 実際の手順を確認する。
C. デバイスのログファイルに最近の攻撃がないか確認してください。
D. パラメータ設定を見直す。
回答を見る
正解: D
質問 #10
報道における最大のリスクはどれか?
A. データの完全性
B. データの入手可能性
C. データの機密性
D. データの信頼性
回答を見る
正解: D
質問 #11
ビジネス・オペレーション・マネジャーが、リスクのしきい値を超えるイベントを特定するのに最も効果的なのはどれか。
A. コントロールの自己評価
B. 同業他社とのベンチマーキング
C. トランザクション・ロギング
D. 継続的モニタリング
回答を見る
正解: D
質問 #12
コートニーは、所属組織のプロジェクトマネージャーである。彼女はプロジェクトチームと協力して、プロジェクトの定性的リスク分析を完了しようとしている。分析の間、コートニーはプロジェクトチームに、特定されたリスクを共通の原因別にグループ化することを勧めています。定性的リスク分析において、リスクを共通原因別にグループ化する主な利点は何ですか?
A. プロジェクトチームが、プロジェクトの中で最もリスクの多い分野を認識するのに役立つ。
B. 効果的なリスク対応策の策定を支援する。
C. リスク事象を分析するために、プロジェクトチームメンバーなどの関連リソースを集めることで、時間を節約できる。
D. 各プロジェクト独自のリスクカテゴリーを作ることにつながる。
回答を見る
正解: B
質問 #13
ある組織は、内部統制環境の成熟度を評価したいと考えている。最初のステップは以下の通りである:
A. 主要なプロセス所有者を特定する。
B. 制御プロセスの実行を検証する。
C. コントロールが有効かどうかを判断する。
D. ベースライン評価を行う。
回答を見る
正解: D
質問 #14
あなたはブルーウェル社でプロジェクトマネージャーとして働いています。あなたはプロジェクトのリスクを特定しました。そして、リスク・アクション・プランを実施しましたが、効果がないことが判明しました。このような場合、どのような計画を実施すべきでしょうか?
A. リスクの軽減
B. リスク予備計画
C. リスク回避
D. リスク対応計画
回答を見る
正解: B
質問 #15
重要業績評価指標(KPI)を策定する際、最も重要なのはどれか。
A. マネジメント・レポートとの整合性
B. リスク対応との整合性
C. リスク閾値に達した場合の警告
D. トレンドの特定
回答を見る
正解: D
質問 #16
効果的なサイバーセキュリティ管理が確立されていることを保証する責任を誰が負うべきか。
A. セキュリティ管理機能
B. 企業リスク機能
C. リスクオーナー
D. IT管理
回答を見る
正解: C
質問 #17
ある組織では、ITリスク全体を軽減するために、4つの異なるプロジェクトが資金を争っている。経営陣はどのプロジェクトを延期すべきか?
A. プロジェクト・アルファ
B. プロジェクト・ブラボー
C. プロジェクト・チャーリー
D. プロジェクト・デルタ
回答を見る
正解: C
質問 #18
実施前に新たな管理策の有効性をテストする主な目的は、以下のとおりである:
A. 組織の方針に従う
B. コントロールによってリスクが確実に軽減されるようにする。
C. 経営目標と統制の整合性を確認する
D. コントロール・プロセスの効率を測定する
回答を見る
正解: D
質問 #19
アウトソーシングされたアプリケーション開発において、悪意のある機能に関連するリスクを軽減するのに最適なものはどれか。
A. 変更管理プロセスを活用する。
B. テスト環境で実行し、機能を検証する。
C. 専門家と綿密なコードレビューを行う。
D. サービスレベル契約を導入する
回答を見る
正解: C
質問 #20
技術の限界により予防的管理が実施できない場合、リスクを低減するために最初に実施すべきことはどれか。
A. リスクを減らすためにビジネスプロセスを再定義する
B. 代替コントロールの評価
C. 技術のアップグレード計画を立てる
D. リスクを監視するプロセスを定義する
回答を見る
正解: B
質問 #21
事業生産性の中断は、次のどのリスクに該当するか?
A. ネガティブな側面しかなく、ポジティブな結果をもたらさないリスクイベントだ。
B. リスク対応の適用によって生じるリスク事象である。
C. プロジェクト作業におけるミスや漏れによって発生するリスク事象。
D. 作業の順序上、回避できないリスク事象である。
回答を見る
正解: B
質問 #22
次のうちどれがSWOT分析の一部ですか?各正解は完全な解答を表しています。(4つ選べ)
A. レポート結果
B. リスクの優先順位付け
C. モニタリングの実施
D. コントロールの特定
回答を見る
正解: ACDE
質問 #23
パスワードが漏えいした場合に、暴露を減少させる最善の管理策はどれか。
A. パスワードには書式制限がある
B. パスワードがマスクされる
C. パスワードの変更が義務付けられている
D. パスワードは暗号化される
回答を見る
正解: D
質問 #24
FISMAは連邦政府機関にITシステムとデータの保護を義務付けています。外部機関によるコンプライアンス監査の頻度は?
A. 毎年
B. クォータリー
C. 3年ごと
D. 絶対にない
回答を見る
正解: A
質問 #25
職場におけるウェアラブル・テクノロジーに関連するセキュリティ・リスクを管理するための最初のステップはどれか。
A. リスク認識トレーニングの開発
B. 従業員の利用状況を監視する
C. 潜在的リスクの特定
D. 潜在的リスクの評価
回答を見る
正解: A
質問 #26
ある組織が、クレジットカード決済を可能にするためにシステムの変更を検討している。データ漏洩のリスクを減らすために、組織が最初に行うべきことはどれか。
A. 追加コントロールの実施
B. リスクアセスメントの実施
C. リスク登録の更新
D. セキュリティ戦略を更新する
回答を見る
正解: B
質問 #27
リスク認識トレーニングの効果を確実にするために最も役立つアプローチはどれか。
A. 経営幹部と内容を検討する
B. 評判の高い第三者の研修プログラムを利用する
C. フォーカス・グループによるコースの試行
D. 対象者向けモジュールの作成
回答を見る
正解: D
質問 #28
あなたは企業で働いている。あなたの企業はさまざまなリスクを所有していました。次のうち、重要なビジネスプロセスをサポートする情報システムのリスクを所有している可能性が最も高いのはどれですか?
A. システムユーザー
B. 上級管理職
C. ITディレクター
D. リスク管理部門
回答を見る
正解: B
質問 #29
予期せぬ緊急変更の増加を受けて、ITビジネスオーナーが取るべき最善の行動はどれか。
A. 根本原因分析の実施
B. 現行プロセスの妥当性の検証
C. 管理目標への影響の評価
D. ITインフラの再構成
回答を見る
正解: A
質問 #30
あるリスク実務者が、上級管理職を対象としたリスク認識研修を企画しています。次のうち、研修で取り上げるべき最も重要なトピックはどれですか?
A. 上級管理職によるリスク管理資源の配分
B. 上級管理職の役割と責任
C. 組織の戦略的リスク管理プロジェクト
D. 組織のリスク選好度とリスク許容度
回答を見る
正解: B
質問 #31
組織のリスクプロファイルの変化を特定する最も良い方法はどれか?
A. 主要リスク指標(KRI)の監視
B. 主要業績評価指標(KPI)の監視
C. ギャップ分析の実施
D. リスクオーナーへのインタビュー
回答を見る
正解: C
質問 #32
ネットワーク上の脆弱なパスワードをチェックできる脆弱性評価ソフトウェアはどれか。
A. パスワードクラッカー
B. アンチウイルスソフト
C. スパイウェア対策ソフト
D. ワイヤーシャーク
回答を見る
正解: A
質問 #33
リスクアセスメントプロセスのアウトプットはどれか?
A. リスクの特定
B. 適切なコントロールの特定
C. 軽減されたリスク
D. 残存リスクを残した企業
回答を見る
正解: B
質問 #34
リスクマネジメントの原則は次のうちどれでしょう?それぞれの正解は完全な解答を表しています。3つ選びなさい。
A. 信頼性
B. 持続可能性
C. 一貫性
D. 区別
回答を見る
正解: ABD
質問 #35
重要なビジネス領域におけるリスクを軽減するための管理策を直ちに実施することができない。代償コントロールの適用が必要な場合のリスク実務者の行動として、最も適切なものはどれか。
A. リスクを受容したものとしてリスク登録簿に記録する。
B. リスクオーナーの承認を得る。
C. 経営幹部に報告する。
D. リスク対応計画を更新する。
回答を見る
正解: B
質問 #36
ジョンはブルーウェル社でプロジェクトマネージャーとして働いています。彼は、プロジェクトに影響を与える可能性のあるリスクを特定しています。リスクの特定プロセスの次の入力のうち、アクティビティまたはプロジェクト全体の時間許容範囲に関連するリスクを特定するのに有効なものはどれでしょうか。
A. 活動時間の見積もり
B. 活動費の見積もり
C. リスク管理計画
D. スケジュール管理計画
回答を見る
正解: A
質問 #37
ある組織が、ITセキュリティ管理機能を外部のサービス・プロバイダーにアウトソーシングした。この取り決めの下で、IT セキュリティ管理を所有する最良の当事者は以下のとおりである:
A. 組織のリスク機能
B. サービスプロバイダーの監査機能
C. 組織のIT管理
D. サービス・プロバイダーのITセキュリティ機能
回答を見る
正解: A
質問 #38
あなたはブルーウェル社のプロジェクトマネージャーです。あなたはプロジェクト計画の文書を読んでいます。その文書によると、このプロジェクトのステークホルダーは25人である。このプロジェクトのコミュニケーション・チャネルの数はいくつになるでしょうか?
A. 20
B. 100
C. 50
D. 300
回答を見る
正解: D
質問 #39
システム開発の設計段階でコントロールを定義すべきである:
A. 技術仕様はこの段階で定義される。
B. 構造化プログラミング技法では、コーディングを開始する前に制御を設計する必要がある。
C. 設計の初期段階でコントロールを決定する方が費用対効果が高い。
D. 構造化された分析技術は、コントロールの特定を除外する。
回答を見る
正解: B
質問 #40
クレジットカードを処理する組織のリスクアセスメントにおいて、既存の管理策の多くが有効でなく、業界標準を満たしていないことが判明した。以下の場合、全体的な統制環境はまだ有効である可能性がある:
A. 管理軽減計画がある
B. 残存リスクを受け入れる
C. 代償措置が講じられている
D. リスク管理は効果的である
回答を見る
正解: A
質問 #41
手動または自動制御によってリスクを十分に軽減できない場合、次の選択肢のうちどれが、リスクの潜在的な財務的影響から企業を保護できるか。
A. ITリスク登録の更新
B. リスクに対する保険
C. 関連するビジネス・プロセスを第三者にアウトソーシングする。
D. リスク分野におけるスタッフ・トレーニングの改善
回答を見る
正解: B
質問 #42
組織のリスクプロファイルを定期的に見直す主な目的はどれか?
A. リスク対応アクションプランの策定と実施
B. 事業目標とリスク選好度の整合
C. リスクベースの意思決定を可能にする
D. リスク登録簿のリスク対応を更新する
回答を見る
正解: C
質問 #43
定性的リスク分析において、リスクの緊急度評価を定義したい。次のうち、リスクの優先度を示す指標はどれを除きますか?
A. 警告サイン
B. 症状
C. リスク評価
D. プロジェクトの費用
回答を見る
正解: D
質問 #44
システムの中断は、内部統制手続きを回避したIT従業員が企業ネットワークに接続した個人用USBデバイスに起因しています。次のうち、誰が責任を負うべきでしょうか?
A. 最高リスク責任者(CRO)
B. 事業継続マネージャー(BCM)
C. 人事マネージャー(HRM)
D. 最高情報責任者(CIO)
回答を見る
正解: D
質問 #45
経営陣にリスクを伝える際、最も役に立つのはどれか?
A. リスク・ポリシー
B. リスクマップ
C. 成熟度モデル
D. 監査報告書
回答を見る
正解: B
質問 #46
定性的リスク分析の唯一のアウトプットは、リスク登録の更新である。プロジェクトマネジャーがリスクレジスターを更新するとき、次のうちどれを除くすべての情報を含める必要がありますか?
A. 定性的リスク分析の動向
B. リスク確率-影響マトリックス
C. カテゴリー別に分類されたリスク
D. 優先度の低いリスクのウォッチリスト
回答を見る
正解: B
質問 #47
あなたはブルーウェル社でプロジェクト・マネージャーとして働いています。あなたのプロジェクトでは、新素材を使って市内に大きな倉庫を建設します。この新素材は従来の建材よりも安価ですが、適切な使い方を学ぶには時間がかかります。あなたはプロジェクトの利害関係者に、新素材を使用することでコストを削減できることを伝えましたが、その材料を使用するためのトレーニングを完了するまでに数週間の余分な時間が必要です。新素材の使い方を学ぶというこのリスク対応
A. 仕事の質
B. アクセスのしやすさ
C. 職業上
D. 独立
回答を見る
正解: C
質問 #48
IT関連の戦略的意思決定におけるITリスクプロファイルの役割について、最も適切なものはどれか。
A. IT資産のパフォーマンス・レベルと提供される価値を比較する。
B. 新規ITプロジェクトのビジネスケースを作成する際、ビジネスマネージャーに意見を提供する。
C. 戦略的IT目標とビジネス目標の整合性を促進する。
D. ITの意思決定がリスク・エクスポージャーに及ぼす影響を評価するのに役立つ。
回答を見る
正解: B
質問 #49
あなたのプロジェクトは組織全体にまたがっています。あなたは、プロジェクトのリスクを評価したいが、プロジェクトに関与するマネジャーの何人かが、リスク特定会議の結果に影響を与えることを心配している。従業員の中には、自分の監督不行き届きを公言しかねないリスク事象を公にしたがらない者もいるという事実に基づいて、あなたは検討しています。あなたは、参加者が匿名でリスク事象を特定できる方法を望んでいる。どのようなリスク識別方法が考えられますか?
A. デルファイ法
B. 根本原因分析
C. 孤立したパイロット・グループ
D. SWOT分析
回答を見る
正解: A
質問 #50
アプリケーションコードを手直しするためのチケットの数が、設定されたしきい値を大幅に超えています。リスクプラクティショナーが推奨する最善の方法はどれか。
A. コーディングのベストプラクティスに関するトレーニングを実施する
B. コードレビューを行う
C. 根本原因分析の実施
D. バージョン管理ソフトウェアの導入
回答を見る
正解: B
質問 #51
あなたはGHTプロジェクトのプロジェクトマネージャーに選ばれた。あなたはプロジェクトの初期段階にあり、プロジェクトの要件定義に追われています。要件定義では、ユーザーがシステムとどのようにやりとりするかを記述します。ここで定義している要件は次のうちどれですか?
A. 組織レベル
B. リスクの構成要素
C. 戦略目標
D. リスク目標
回答を見る
正解: C
質問 #52
あるIT部門が、組織の情報セキュリティポリシーに対するユーザの意識を向上させるために、トレーニングセッションを企画した。トレーニングの有効性を反映する重要業績評価指標(KPI)として、最も適切なものはどれか。
A. トレーニングセッション完了数
B. 研修を合格点で修了したスタッフの割合
C. 総スタッフ数に対する出席者の割合
D. 研修に参加したスタッフのうち、肯定的なフィードバックを得たスタッフの割合
回答を見る
正解: C
質問 #53
リスクマネジメント・プログラムを設計する主な目的は何ですか?
A. 企業が受け入れ可能なレベルまでリスクを低減する。
B. 利益が費用を上回るところまでリスクを減らすこと
C. 測定不可能なレベルまでリスクを低減すること
D. 現在の資本コストに等しい収益率までリスクを低減させる。
回答を見る
正解: A
質問 #54
あるリスク実務者は、リスク登録簿に業界ベースの一般的なリスクシナリオを入力し、リス クオーナーがさらに評価するようにした。このアプローチで最も懸念されるのはどれか?
A. 一般的なリストにあるリスクシナリオは、リスク意識の構築に役立たないかもしれない
B. 組織に関連しないリスクシナリオを評価することができる。
C. 一般的なリストを使って複雑なリスクシナリオを作成するのは難しい。
D. 一般的なリストにない関連するリスクシナリオは、評価されない可能性がある。
回答を見る
正解: B
質問 #55
自然災害は、次のどのタイプのリスクに最も関連しているか?
A. 内部会計管理
B. 探偵コントロール
C. 行政管理
D. 運営管理
回答を見る
正解: C
質問 #56
ビジネスプロセスの大幅な変更後、リスクプラクティショナーは、関連するリスクは減 少したと考える。リスクプラクティショナーは、リスクオーナーにFIRSTに助言すべきである:
A. リスク対応リソースの再配分
B. 主要リスク指標の見直し
C. リスク分析を行う
D. リスク登録の更新
回答を見る
正解: C
質問 #57
あなたはNHHプロジェクトのプロジェクトマネージャーです。あなたはプロジェクトチームと協力して、プロジェクト全体のリスク管理手順を文書化する計画を作成しています。この文書では、どのようにリスクを特定し、定量化するかを定義します。また、プロジェクトチームによるコンティンジェンシープランの実施方法も定義します。このシナリオでは、あなたとあなたのチームはどのような文書を作成しますか?
A. プロジェクト計画
B. 資源管理計画
C. プロジェクト管理計画
D. リスク管理計画
回答を見る
正解: D
質問 #58
解雇された従業員のITシステムへのアクセス権を、退社時に確実に失効させる方法として、最も適切なものはどれか。
A. ログインの試行が、解雇された従業員のリストと照合される。
B. 退社面談中に従業員の出入りを制限するプロセスを導入する。
C. 人事(HR)システムが自動的にシステムへのアクセスを取り消す
D. 現在のITアクセスと照合するために、解雇された従業員のリストが作成される。
回答を見る
正解: D
質問 #59
ITリスク管理プロセスの有効性を示す指標として、最も適切なものはどれか。
A. ITリスクシナリオが特定されてから企業が対応するまでの時間。
B. リスク研修を修了したビジネスユーザーの割合
C. リスクアクションプランが作成された高リスクシナリオの割合
D. 定義された主要リスク指標(KRI)の数。
回答を見る
正解: C
質問 #60
関連するリスクシナリオの特定に最も役立つアプローチはどれか?
A. リスクアセスメントのワークショップにラインマネジメントを参加させる
B. 状況をリスクリーダーにエスカレーションする
C. リスク評価ワークショップに内部監査を参加させる
D. システムおよびプロセス文書のレビュー
回答を見る
正解: A
質問 #61
ジョンはブルーウェル社でプロジェクトマネージャーとして働いています。彼は、プロジェクトに影響を与える可能性のあるリスクを特定しています。リスクの特定プロセスの次の入力のうち、アクティビティまたはプロジェクト全体の時間許容範囲に関連するリスクを特定するのに有効なものはどれでしょうか。
A. 活動時間の見積もり
B. 活動費の見積もり
C. リスク管理計画
D. スケジュール管理計画
回答を見る
正解: A
質問 #62
組織内のすべての事業部門は、地域の災害復旧計画を作成するために、同じリスク対応計画を持っている。費用対効果を達成するために、最善の行動方針は以下の通りである:
A. 災害復旧を外部プロバイダーに委託する。
B. 災害復旧計画を標準化するプロバイダーを選択する。
C. 災害復旧計画を組み合わせる機会を評価する
D. リスク対応機能を企業レベルで一元化する。
回答を見る
正解: C
質問 #63
テスト中、リスク実務者は、IT部門が主要システムに対して設定した復旧時間目標(RTO)が、企業の事業継続計画(BCP)に合致していないことを発見した。次に行うべきことはどれですか?
A. リスク例外フォームに記入する
B. 上級管理職にギャップを報告する
C. ビジネスオーナーと相談し、BCPを更新する
D. IT部門と相談し、RTOを更新する。
回答を見る
正解: B
質問 #64
ITライセンス監査により、会社のノートパソコンに商用アプリケー ションのライセンス外コピーが複数インストールされていることが判明し ました。リスクプラクティショナーの最善の行動方針は以下のとおりです:
A. 直ちに、ノートパソコンから非正規ソフトウェアをアンインストールする。
B. ビジネスへの影響を最小限に抑えるために、ソフトウェアに必要なライセンスを調達する。
C. 経営陣に問題を報告し、適切な措置を講じる。
D. ノートパソコンの管理権限を一元化し、インストールを管理できるようにする。
回答を見る
正解: D
質問 #65
最近、機密データの漏洩リスクを低減するために、ルールベースのデータ損失防止(DLP)ツールが導入されました。この実装の結果、最も変更される可能性が高いのは次のうちどれですか?
A. リスク速度
B. リスクへの影響
C. リスクの可能性
D. リスク選好度
回答を見る
正解: B
質問 #66
リスクプロファイルが、ビジネス目標をサポートする効果的なリソースとして機能するために、最も有効なものはどれか。
A. リスクアセスメントの結果を用いてリスクプロファイルを更新すること。
B. リスク登録簿の定性的な指標に定量的な値を割り当てる。
C. 外部のリスク専門家を関与させ、定期的にリスクを見直す。
D. リスクプロファイルにおいて、ローカル要件よりもグローバルスタンダードを優先すること。
回答を見る
正解: B
質問 #67
組織のITリスク登録の更新が必要になるのは、次のうちどれでしょう?
A. 有効に設計されていない重要なIT統制の発見
B. 主要リスク指標(KRI)のマネジメント・レビュー
C. 登録簿の管理責任チームの変更
D. 最新の内部監査の完了
回答を見る
正解: A
質問 #68
単一損害予想率(SLE)、年間発生率(ARO)、年間損害予想率(ALE)について正しいものはどれか。
A. ALE= ARO/SLE
B. ARO= SLE/ALE
C. ARO= ALE*SLE
D. ALE= ARO*SLE
回答を見る
正解: D
質問 #69
リスクアセスメントプロセスにおいて、リスクオーナーを関与させることの主な利点はどれか。
A. 損失影響の正確な測定
B. 新たな脅威の早期発見
C. コンプライアンス違反につながる可能性のある管理ギャップの特定
D. 部門横断的なリスク行動計画の優先順位付け
回答を見る
正解: A
質問 #70
ネガティブな出来事の可能性を推定する際に、最も役に立つのはどれか?
A. ビジネスインパクト分析
B. 費用便益分析
C. リスク対応分析
D. 脅威分析
回答を見る
正解: D
質問 #71
あなたはGHTプロジェクトのプロジェクトマネージャーです。あなたは、管理策のコストと便益の分析を行っている。あるリスクを軽減するために、特定のコントロールのコストがベネフィットを上回るという結果に出くわしました。このシナリオであなたが選択する最善の行動は何でしょうか?
A. 企業は、いずれにせよ適切なコントロールを適用することができる。
B. 企業は是正管理を採用すべきである。
C. 企業は、リスク軽減のための費用を負担するよりも、むしろリスクを受け入れることを選択するかもしれない。
D. 企業はリスクを利用すべきである。
回答を見る
正解: C
質問 #72
異なるシステムから収集されたログを分析する最大のメリットは、次のうちどれですか?
A. 発展途上の脅威がより早く検知される。
B. 科学捜査が容易になる。
C. セキュリティ違反を特定できる。
D. インシデントの記録を保持する。
回答を見る
正解: D
質問 #73
確率と影響度の評価が低いリスクは、次のうちどれに含まれるか?
A. リスクアラーム
B. 観察リスト
C. ウォッチリスト
D. リスク登録
回答を見る
正解: C
質問 #74
あなたはGHTプロジェクトのプロジェクトマネージャーです。あなたはプロジェクトにおいて、発生すればプロジェクトコストを10万ドル削減できるリスク事象を特定しました。次の記述のうち、このリスク事象を説明するのに最も適切なものはどれですか?
A. このリスクは、貯蓄を活用するために軽減されるべきである。
B. これは、プロジェクトにとっての脅威を上回る報酬が得られるため、受け入れるべきリスク事象である。
C. 潜在的な節約効果を最大限に活用するためには、このリスク事象は避けるべきである。
D. このリスクはプロジェクトにとって好機であり、利用すべきである。
回答を見る
正解: D
質問 #75
リスクアセスメントにより、各部門が企業ネットワークに独自のWiFiアクセスポイントを設置していることが判明しました。上級管理職への報告書に含めることが最も重要なのは、次のうちどれでしょうか。
A. 計画的な是正措置
B. ネットワークセキュリティポリシー
C. WiFiアクセスポイントの設定
D. 潜在的なビジネスインパクト
回答を見る
正解: D
質問 #76
あなたは、ブルーウェル社のプロジェクトマネージャーとして働いています。経営陣はあなたに、主要なプロジェクト利害関係者と協力して、あなたが特定したプロジェ クトのリスク事象を分析するよう求めています。経営陣は、プロジェクトのパフォーマンスを全体として向上させることを目標に、プロ ジェクトのリスクを分析してほしいと考えています。プロジェクト利害関係者とのリスク分析を通じて、プロジェクトのパフォーマンスを向上させるというこの目標を達成するために、あなたはどのようなアプローチを用いることができますか?
A. プロジェクトのリスクはいつ起こるかわからない。
B. リスクはプロジェクトのどの時点でも起こりうる。
C. プロジェクトのリスクは常に未来にある。
D. リスクトリガーとは、リスクがいつ起こるかの警告サインである。
回答を見る
正解: D
質問 #77
組織の機密情報に対する外部からの脅威に対して、最も効果的なのはどれか。
A. シングルサインオン
B. 強力な認証
C. データ整合性チェック
D. 侵入検知システム
回答を見る
正解: D
質問 #78
優先順位を策定し、組織の個人情報が失われた場合にどのようなリスクと影響が生じるかを特定するBESTの権限は誰にあるのか。
A. 外部規制機関
B. 内部監査人
C. ビジネス・プロセス・オーナー
D. セキュリティ管理
回答を見る
正解: D
質問 #79
主要リスク指標(KRI)を維持する最も重要な理由はどれか?
A. リスクを避けるために
B. 複雑なメトリクスには微調整が必要
C. リスク報告はタイムリーに
D. 脅威と脆弱性は時間とともに変化する
回答を見る
正解: D
質問 #80
不審なネットワーク・アクティビティが悪意のあるものであるかどうかを検証するのに役立つのは、次のうちどれでしょう?
A. 侵入検知システム(IDS)のルール
B. 侵入テストレポート
C. 脆弱性評価報告書
D. ログとシステムイベント
回答を見る
正解: D
質問 #81
リスクマネジメント計画に関する次の記述のうち、正しくないものはどれか。
A. リスクマネジメント計画は、計画リスクマネジメントプロセスのアウトプットである。
B. リスクマネジメント計画は、残りのすべてのリスク計画プロセスのインプットとなる。
C. リスクマネジメントプランには、リスクへの対応とトリガーの記述が含まれている。
D. リスク管理計画には、閾値、スコアリングと解釈方法、責任者、予算が含まれる。
回答を見る
正解: C
質問 #82
ジョンは彼女の会社のHGHプロジェクトのプロジェクトマネージャーである。彼と彼のプロジェクト・チームは、ベンダーが10日以上遅れた場合は注文をキャンセルし、NBG社に注文を依頼することで合意している。NBG社は3日以内の注文を保証できるが、その製品のコストは現在のベンダーよりかなり高い。ジョンはここでどのような対応をとるだろうか?
A. 偶発的対応戦略
B. リスク回避
C. リスクの軽減
D. 専門家の判断
回答を見る
正解: A
質問 #83
モノのインターネット(IoT)機器の導入後、新たなリスクシナリオが特定された。この情報をリスクオーナーに報告する主な理由は何か?
A. IoTデバイスの継続的な使用を再評価すること。
B. IoTポリシーの変更を提案すること。
C. リスクプロファイルへの影響を確認する。
D. リスクを軽減するために新たな管理策を追加する。
回答を見る
正解: D
質問 #84
組織の災害復旧計画に相互協定がある場合、適用されるリスク処理オプションはどれか。
A. 移籍
B. 回避
C. アクセプタンス
D. 緩和
回答を見る
正解: D
質問 #85
ある事業部門は、脆弱なパスワード管理を使用する市販のソフトウェアパッケージを導入するリスクを受け入れることにしました。最善の行動は次のとおりである:
A. ポリシーの例外について経営陣の承認を得る
B. 変更を加えずに実施を継続する
C. 改良されたパスワードソフトを開発する
D. 強力なパスワード制御を持つ別のアプリケーションを選択する
回答を見る
正解: C
質問 #86
あなたはプロジェクトのプロジェクトマネージャーです。様々なプロジェクトリスクを分析しなければなりません。あなたは定性的リスク分析の代わりに定量的分析を選択しました。定性的リスク分析より定量的分析を使うことの最も大きな欠点は何ですか?
A. 客観性の低下
B. より高いコスト
C. 熟練工への依存度が高い
D. 経営陣の賛同が得られない
回答を見る
正解: B
質問 #87
組織におけるリスクマネジメントに影響を及ぼす要因のうち、最も重要なものはどれか。
A. リスクマネージャーの専門知識
B. 規制要件
C. 取締役会の専門性
D. 組織の文化
回答を見る
正解: D
質問 #88
リスクの評価と管理に経営陣が関与することの第一の利点は、経営陣がリスクを評価できることである:
A. より良い情報に基づいたビジネス上の意思決定ができる
B. システム・アーキテクチャをよりよく理解している
C. 技術リスクとビジネスリスクのバランスを取ることができる
D. リスク管理よりも客観的である
回答を見る
正解: A
質問 #89
リスク実務者がリスク対応アクションプランを検証する際に最も重視すべきは、リスク対応である:
A. ビジネス目標を達成する。
B. リスクの影響を定量化する。
C. リスクを許容レベルまで低減する。
D. 事業戦略に合致している。
回答を見る
正解: D
質問 #90
ペネトレーション・テストを実施する際に生じるリスクを軽減するための最善の対策は、以下の通りである:
A. プロジェクトの範囲を明確に定義する
B. ベンダーの身元調査を行う。
C. テスト前にネットワーク管理者に通知する
D. ベンダーに秘密保持契約の締結を求める
回答を見る
正解: A
質問 #91
次のうち、探偵コントロールはどれか?
A. リミットチェック
B. アクセス・コントロール・ソフトウェア
C. 定期的なアクセス・レビュー
D. 再走行手順
回答を見る
正解: D
質問 #92
定性的リスク分析の手法でないものはどれか。
A. スコアカード
B. 属性分析
C. 尤度影響度行列
D. ビジネスプロセスモデリング(BPM)とシミュレーション
回答を見る
正解: D
質問 #93
アプリケーションの高リスクの脆弱性に関連するリスクは、そのアプリケーションが所有する:
A. セキュリティ部門。
B. ベンダー
C. 事業部門
D. IT部門
回答を見る
正解: C
質問 #94
支配権の所有者に説明責任を課す際に、最も大きな課題となるのは次のうちどれでしょう?
A. 不明瞭な報告関係
B. 脆弱な統治構造
C. 上級管理職による精査
D. 複雑な規制環境
回答を見る
正解: A
質問 #95
あなたはGHTプロジェクトのプロジェクトマネージャーである。あなたのプロジェクトでは、商品を生産するための機械を使用しています。この機械には、温度が華氏450度以上になると巻線が焼損するという仕様がある。そこで、機械の温度が華氏430度に達するとアラームが鳴り、機械は1時間停止します。アラームはどのような役割を果たしているのでしょうか?
A. リスク指標の
B. リスクの特定
C. リスクトリガーの
D. リスク対応
回答を見る
正解: A
質問 #96
監査とアカウンタビリティ・コントロールの機能とは何ですか。(3つ選べ)
A. リスク水準がリスク選好度を上回る
B. リスク許容度を上回るリスクレベルの上昇
C. リスクレベルはリスク選好度に等しい
D. リスクレベルはリスク許容度に等しい
回答を見る
正解: ACD
質問 #97
ある組織が、自動的に集計されない独立した部門別リスク登録簿を保持している。最も懸念されるのはどれか。
A. リソースが非効率的に配分されている可能性がある
B. 経営陣がリスクプロファイルを正確に評価できない可能性がある。
C. 特定のリスクを治療するために、複数のリスク治療努力を開始することができる。
D. 同じ危険因子が複数の領域で特定されることがある
回答を見る
正解: B
質問 #98
データおよびシステムの所有権の定義が不十分なポリシーのリスクが最も高いのはどれか。
A. ユーザー管理の調整が存在しない
B. 監査勧告が実施されない可能性がある
C. 利用者が不正にアクセスし、データの発信、変更、削除を行う可能性がある。
D. 特定のユーザーのアカウンタビリティを確立できない
回答を見る
正解: C
質問 #99
データベース管理者によるデータの不正な変更を検出するコントロールは、次のうちどれがBESTですか?
A. データベースのアクセス権を見直す
B. 編集チェックの変更を確認する
C. 入力記録とデータの比較
D. データベースのアクティビティログを確認する
回答を見る
正解: C
質問 #100
プロジェクトの進行に伴うすべてのリスクとリスクへの対応はどこに文書化されているか?
A. リスク管理計画
B. プロジェクト管理計画
C. リスク対応計画
D. リスク登録
回答を見る
正解: D
質問 #101
残留リスクはどのように決定されるのか?
A. 対策を講じた後に残る脆弱性を判断すること。
B. すべてのリスクを譲渡すること。
C. 脅威分析
D. リスクアセスメント
回答を見る
正解: D
質問 #102
あなたは企業のプロジェクトマネージャーです。あなたは侵入検知システムを導入しました。あなたは企業のセキュリティポリシー違反の警告を確認しました。侵入検知システム(IDS)とはどのような管理システムですか?
A. 探偵
B. 是正措置
C. 予防的
D. リカバリー
回答を見る
正解: A
質問 #103
あなたは Techmart 社のリスク担当者です。あなたは、ネットワーク接続が1日失われた場合の影響についてリスク評価を行うよう求められています。あなたは次のどの要因を含めますか?
A. 影響を受けるすべてのビジネス・ユーザーの総報酬。
B. 航空会社が請求する1時間当たりの請求料金
C. 企業がネットワーク経由でデータを転送する際に得られる価値
D. 影響を受けた事業部門が被る財務上の損失
回答を見る
正解: D
質問 #104
主要リスク指標(KRI)を維持する最も重要な理由はどれか?
A. リスクを避けるために
B. 複雑なメトリクスには微調整が必要
C. リスク報告はタイムリーに
D. 脅威と脆弱性は時間とともに変化する
回答を見る
正解: D
質問 #105
リスク対応アクションプランの進捗状況を測定する際に、最も有用なものはどれか。
A. 予算に対する資源支出
B. 最新のリスク登録簿
C. 軽減されたリスクシナリオの割合
D. 年間平均損失率(ALE)の変化
回答を見る
正解: C
質問 #106
リスクプロフィールを文書化する主な目的は、以下のとおりである:
A. 十分な情報に基づいた意思決定を可能にする。
B. 外部および内部の要件に準拠する。
C. リスク登録簿を最新の状態に保つ。
D. 投資プロジェクトの優先順位付け
回答を見る
正解: A
質問 #107
新しいリスク登録簿を作成する際、リスク実務者は次のどのリスク管理活動に重点を置くべきか?
A. リスク対応計画
B. リスクの特定
C. リスクのモニタリングと管理
D. リスク管理戦略立案
回答を見る
正解: C
質問 #108
あなたはブルーウェル社のプロジェクトマネージャーとして働いています。あなたのプロジェクトには、複数の利害関係者の要件に影響するいくつかのリスクがあります。プロジェクトリスクに関する情報を共有するために誰が利用できるかを定義するプロジェクトマネジメントプランはどれですか?
A. 資源管理計画
B. リスク管理計画
C. ステークホルダー・マネジメント戦略
D. コミュニケーション・マネジメント・プラン
回答を見る
正解: D
質問 #109
重要なパッチの実装に失敗した後、組織のリスクプロファイルに反映される変化は次のうちどれでしょうか?
A. 固有のリスクが高まる。
B. リスク許容度が低下する。
C. リスク選好度が低下している。
D. 残留リスクが高まる。
回答を見る
正解: D
質問 #110
企業のITリスク管理を評価する際、最も重要なのは以下の点である:
A. 特定されたITリスクシナリオを削減するために、新たな管理プロセスを構築する。
B. 組織の投資計画との整合性を見直す。
C. 特定されたITリスクシナリオを上級管理職に報告する。
D. 組織のリスク選好度とリスク許容度を確認する。
回答を見る
正解: B
質問 #111
のプロジェクトマネージャーとして働いている。あなたは、合意され、資金が提供された各リスク対応の仕事を引き受けるリスク対応オーナーを組み込んでいます。あなたは以下のどのプロセスに取り組んでいますか?
A. 定量的リスク分析
B. リスクの特定
C. リスク対応を計画する
D. 定性的リスク分析
回答を見る
正解: C
質問 #112
プロジェクト開始の認可となるのは次のうちどれ?
A. プロジェクト管理計画の承認
B. リスク対応文書の承認
C. リスク管理文書の承認
D. プロジェクト要求文書の承認
回答を見る
正解: D
質問 #113
あなたはブルーウェル社のNHQプロジェクトのプロジェクト・マネージャーである。このプロジェクトの資産価値は$200,000であり、45%のエクスポージャ・ファクターが適用されます。このプロジェクトの年間損失発生率が月1回である場合、このプロジェクトの年間損失予想額(ALE)はいくらになりますか?
A. $ 2,160,000
B. $ 95,000
C. $ 108,000
D. $ 90,000
回答を見る
正解: C
質問 #114
企業がリスクシナリオに優先順位をつけるのに最も役立つのはどれか。
A. 業界のベストプラクティス
B. リスクのばらつきの程度
C. リスク軽減のためのコスト
D. リスクマップ上の位置づけ
回答を見る
正解: D
質問 #115
ある組織のデータセンターに関する最近の監査結果を検討するリスク実務家が、最も関心を持つべきものはどれか。
A. 監査指摘事項の所有権が割り当てられていない
B. データセンターが完全に冗長化されていない
C. 監査結果が経営幹部に伝えられていない
D. データセンターの主要リスク指標(KRI)に重要なコンポーネントが含まれていない。
回答を見る
正解: C
質問 #116
IT 関係者は、リスク軽減のためのリソースを割り当てるために、特定の部門に関連する IT リ スクプロファイルレポートをリスク実務者に求めている。この要望に対応する最善の方法は、次のようなものである:
A. 過去のリスク評価
B. 主要リスク指標(KRI)
C. 各コントロールに関連するコスト
D. リスク登録簿からの情報
回答を見る
正解: A
質問 #117
死亡率表はどのような数学的活動に基づいていますか?3つ選びなさい。
A. 転移
B. 緩和
C. アクセプタンス
D. 回避
回答を見る
正解: ABD
質問 #118
ジェーンはNHJプロジェクトのプロジェクト・マネジャーである。彼はプロジェクト内でいくつかのポジティブなリスクイベントを特定し、これらのイベントがプロジェクトの時間とコストを節約できると考えている。NHJプロジェクトにおけるこのようなポジティブなリスク・イベントは、次のように呼ばれている。
A. コンティンジェンシー・リスク
B. メリット
C. 残留リスク
D. 機会
回答を見る
正解: D
質問 #119
リスクアセスメントの結果、経営幹部がリスクに関する意思決定を行うための最も適切な情報はどれか。
A. リスク評価結果の定量的表示
B. リスク評価結果の定性的プレゼンテーション
C. リスク評価結果と望ましい状態との比較
D. 組織の成熟度レベルと準備状況の評価
回答を見る
正解: A
質問 #120
業務アプリケーションシステムに保存されている機密情報の不正な取得を防止するために、最も適切なものはどれか。
A. 職務分掌の実施
B. 社内のデータアクセスポリシーを実施する
C. デジタル署名の使用を強制する
D. アクセス制御にシングルサインオンを適用する
回答を見る
正解: D
質問 #121
次のうち、外部リスク要因はどれですか?各正解は完全な解答を表しています。3つ選びなさい。
A. エクスプロイト
B. 避ける
C. 軽減する
D. 移籍
回答を見る
正解: AD
質問 #122
あなたはGHTプロジェクトのプロジェクトマネージャーです。あなたはプロジェクトを開始し、フィージビリティ・スタディを実施しました。フィージビリティ・スタディを実施した後、あなたはどのような結果を得るでしょうか?(2つ選びなさい)
A. ステークホルダーの特定
B. ベンダー選定プロセス
C. 品質ベースライン
D. プロセス改善計画
回答を見る
正解: AD
質問 #123
あなたはブルーウェル社でプロジェクトマネージャーとして働いています。あなたはプロジェクトチームと共に、プロジェクトにおける様々なリスク問題に取り組んでいます。あなたは、経済や社会に影響を与える全体的なリスクの理解と上昇の管理を促進するために、IRGCモデルのアプリケーションを使用しています。チームメンバーの一人が、IRGCを使用する必要性について知りたがっています。あなたはどう答えますか?
A. 技術要件
B. プロジェクト要件
C. 機能要件
D. ビジネス要件
回答を見る
正解: A
質問 #124
プロジェクト期間中、効果的な実施後レビューのためにどのような活動を行うべきか?
A. ビジネスの測定方法を前もって確立する
B. 新システムで十分な数のビジネスサイクルを実行できるようにする。
C. プロジェクトの各段階で収集された情報を特定する
D. 見直すべき情報を特定する
回答を見る
正解: A
質問 #125
メアリーは組織のプロジェクトマネジャーである。現在のプロジェクトで、彼女はプロジェクトチームや他の主要な利害関係者と協力して、プロジェクト内のリスクを特定している。彼女は現在、プロジェクトリスクの包括的なリストを作成することを目指しているため、ファシリテーターを使ってプロジェクトリスクに関するアイデアを出す手助けをしています。メアリーはどのようなリスク識別方法を用いていますか?
A. デルファイ・テクニック
B. 専門家の判断
C. ブレインストーミング
D. チェックリスト分析
回答を見る
正解: C
質問 #126
あなたはブルーウェル社でプロジェクト・マネージャーとして働いています。あなたは、プロジェクトの定量的リスク分析プロセスを完了しようとしています。このプロセスを完了するために、利用可能な 3 つのツールとテクニックを使用できます。次のうち、定量的リスク分析プロセスに適していないツールやテクニックはどれですか?
A. データ収集と表現手法
B. 専門家の判断
C. 定量的リスク分析とモデリング技術
D. 組織的プロセス資産
回答を見る
正解: D
質問 #127
新しいコントロールがシステム内のデータ損失リスクを適切に軽減しているかどうかを判断するのに最も適しているのは誰か。
A. コントロール・オーナー
B. リスク・オーナー
C. データ所有者
D. システムオーナー
回答を見る
正解: D
質問 #128
あなたはブルーウェル社のリスク担当者です。あなたはリスクアセスメントの過程で多くの脆弱性を検出しました。次に何をすべきでしょうか?
A. 影響度のみに基づき、脆弱性を是正するための優先順位をつける。
B. 脅威がなくても、脆弱性をリスクとして扱う。
C. 脆弱性に基づく管理の有効性を分析する。
D. 脅威、影響、緩和のためのコストについて脆弱性を評価する。
回答を見る
正解: D
質問 #129
あなたは GHT プロジェクトのプロジェクトマネージャーです。ハードウェアベンダーから、注文した機器の納品が間に合わないとボイスメールが入りました。あなたはこのリスクに対するリスク対応策を特定し、発注した機器が到着するまでの間、必要な機器をリースしてくれる現地企業を手配しました。これはどのリスク対応戦略の例ですか?
A. 避ける
B. 移籍
C. アクセプタンス
D. 軽減する
回答を見る
正解: D
質問 #130
グループ、個人、機関などの利害関係者の間で、リスクに関する情報や見解を交換するプロセスである。
A. リスク・ガバナンス
B. IRGC
C. リスク対応計画
D. リスクコミュニケーション
回答を見る
正解: D
質問 #131
業務環境における生産性の効率性を評価するために実施される統制監査はどれか。
A. プロジェクト・リスク・マネジメントは、プロジェクト・プランニングとともに結論付けられている。
B. プロジェクトのリスク管理は、すべてのマイルストーンで行われる。
C. プロジェクトリスク管理は、18ヶ月のプロジェクトで毎月予定されている。
D. プロジェクトチームのステータスミーティングでは毎回、プロジェクトリスク管理が議題となる。
回答を見る
正解: C
質問 #132
悪意のあるコード保護はどのタイプのコントロールか?
A. 構成管理コントロール
B. システムと情報の完全性管理
C. メディア保護コントロール
D. 個人のセキュリティ管理
回答を見る
正解: B
質問 #133
通常、どのネガティブ・リスク対応に契約上の合意があるのか?
A. シェアリング
B. 転移
C. 緩和
D. 搾取
回答を見る
正解: B
質問 #134
リスク軽減手順には、以下を含むべきである:
A. 保険に加入する。
B. エクスポージャーの受け入れ
C. 対策の展開
D. エンタープライズ・アーキテクチャの実装
回答を見る
正解: C
質問 #135
あなたは GHT プロジェクトのプロジェクトマネジャーです。あなたは、比較的単純な手順がいくつか欠けていることが原因で、規制を遵守しないリスクを特定しました。対応策としては、欠けている手順を作成し、それを実施することが必要です。このケースは、次のどのリスク対応の優先順位に分類されるべきでしょうか?
A. ビジネスケース
B. クイックウィン
C. リスク回避
D. 繰延
回答を見る
正解: B
質問 #136
次のうち、リスクに関する経営報告をサポートする最良のものはどれか。
A. リスク登録。
B. 主要業績指標。
C. コントロールの自己評価
D. リスクポリシーの要件
回答を見る
正解: B
質問 #137
リスクを監視するために必要なことは何ですか?それぞれの正解は解決策の一部を表しています。3つ選んでください。
A. リスク移転
B. リスクの受容
C. リスク回避
D. リスクの軽減
回答を見る
正解: BCD
質問 #138
あるリスク担当者は、ここ数カ月でハードウェアの故障が増加していると指摘する。しかし、内蔵の冗長性とフォールト・トレラント・アーキテクチャにより、業務への支障は発生していない。リスク実務者は次のように結論づけるべきである:
A. 影響なし。
B. 根本原因分析が必要
C. ハードウェアのアップグレードが必要
D. 継続性を確保するための管理は有効である
回答を見る
正解: D
質問 #139
ある組織では、最近、多数のパートタイム従業員を雇用した。年次監査において、多くのユーザーIDとパスワードが、パートタイマーが使用するための手順書に文書化されていることが発見された。このような状況が考えられる:
A. リスク
B. 事件
C. 脅威
D. 脆弱性
回答を見る
正解: D
質問 #140
組織全体でリスクを認識する文化を促進するために、次の活動のうち最も貢献すると思われるものはどれか。
A. リスクの構成要素とその許容レベルを伝える
B. ベンチマーク分析とギャップ評価
C. ピアレビューへの参加とベストプラクティスの実践
D. リスクアセスメントの実施と管理策の実施
回答を見る
正解: D
質問 #141
リスク対応計画を実施し、特定されたリスクを追跡し、残存リスクを監視し、新たなリスクを特定し、プロジェクト全体のリスクプロセスの有効性を評価するプロセスである。
A. 定量的リスク分析の実施
B. リスクの監視と管理
C. リスクの特定
D. 定性的リスク分析の実施
回答を見る
正解: B
質問 #142
次のうち、リスクの特定と評価の段階に含まれるものはどれですか?それぞれの正解は完全な解答を表しています。3つ選びなさい。
A. エンドノード
B. ルートノード
C. イベントノード
D. 決定ノード
回答を見る
正解: ABC
質問 #143
あなたは株式会社に勤務しており、この組織における重大なリスクの可能性と影響を見積もるためにリスクシナリオを使用しているとします。あなたは次のどの評価を行っていますか?
A. ITセキュリティ評価
B. IT監査
C. 脅威と脆弱性の評価
D. リスク評価
回答を見る
正解: C
質問 #144
次のうち、間接的な情報ではないものはどれか?
A. カットオフの妥当性に関する情報
B. 与信制限のために拒否された注文を示すレポート。
C. 異常な逸脱や個々の製品のマージンに関する情報を提供する報告書。
D. 永続的な水準と実際の商品水準に大きな差がないこと。
回答を見る
正解: A
質問 #145
経営幹部は、最近開発したERPシステムに関する技術的リスクシナリオを作成するよう、リスクプラクティショナーに依頼した。これらのシナリオはシステムマネジャーが所有する。シナリオを作成する際に使用する方法として、最も適切なものはどれか。
A. ボトムアップ・アプローチ
B. 因果関係図
C. トップダウン・アプローチ
D. デルファイ法
回答を見る
正解: D
質問 #146
次の統制のうち、非技術的統制の例はどれか。
A. アクセス・コントロール
B. 物理的セキュリティ
C. 侵入検知システム
D. 暗号化
回答を見る
正解: B
質問 #147
リスク実務者は、ボトムアップのITリスクシナリオを策定している。ビジネス利害関係者を関与させる最も重要なタイミングは、次のようなときです:
A. リスク軽減策の特定
B. リスクシナリオの文書化
C. リスクシナリオの検証
D. リスク登録の更新
回答を見る
正解: C
質問 #148
あなたはGHTプロジェクトのプロジェクトマネージャーです。このプロジェクトのステークホルダーから変更要求がありました。この変更要求を承認するために、プロジェクトマネジャーとしてあなたがすべきことは何ですか。つ選びなさい。
A. 短期
B. 長期
C. 不連続
D. 大きな衝撃
回答を見る
正解: AC
質問 #149
リスク対応を定義する理由として、最も適切なものはどれか。
A. 企業からリスクを排除する
B. 残存リスクがリスク選好度および許容度の範囲内にあることを確認する。
C. リスクの現状を概観する
D. リスクを軽減する
回答を見る
正解: B
質問 #150
あなたは組織のプログラムマネージャーで、プロジェクトマネージャーのアリスと一緒に仕事をしています。アリスがあなたに電話をかけてきて、プログラムスコープに変更を加えるよう要求してきました。あなたはその変更に同意します。アリスは変更要求を進めるために何をしなければなりませんか?
A. 彼女はプロジェクトマネージャーなので、自分でプログラムスコープに変更を加える。
B. 変更要求を正当化する変更要求憲章を作成する
C. 変更要求書を文書化する。
D. 変更要求をスコープに追加し、統合変更管理を完了する。
回答を見る
正解: C
質問 #151
リスク分析における監査人の機能とは何ですか。3つ選びなさい。
A. コスト変更管理システム
B. 構成管理システム
C. スコープ変更管理システム
D. 統合変更管理
回答を見る
正解: ACD
質問 #152
あなたはブルーウェル社のリスク担当者です。あなたはいくつかのリスクに優先順位をつけることになっています。あるリスクは、発生、重大度、検出の評価がそれぞれ4、5、6となっています。あなたはそのリスクにどのようなリスク優先順位番号(RPN)をつけますか?
A. 120
B. 100
C. 15
D. 30
回答を見る
正解: A
質問 #153
プロジェクトのリスクが起こりそうなとき、この言葉は何と呼ばれるのだろうか?
A. 変化する法的要件への対応
B. 従業員数
C. 組織構造の複雑さ
D. 物理的な場所による文化の違い
回答を見る
正解: C
質問 #154
リスクマネジメント戦略を定義する際、最初に決めるべき主要な部分は何でしょうか?正解はそれぞれ解答の一部を表しています。つ選んでください。
A. 新規資源のリスクへの偏り
B. リスクの確率と影響のマトリックス
C. スケジュール活動の期間などの値の不確実性
D. リスクの特定
回答を見る
正解: BC
質問 #155
効果的なリスクコミュニケーションに当てはまらないものはどれか?
A. リスク情報は、すべての利害関係者に知られ、理解されなければならない。
B. リスクに関する専門用語の使用
C. リスクに関するあらゆるコミュニケーションは適切でなければならない
D. それぞれのリスクについて、その発生と潜在的なビジネス上の影響との間に重要な瞬間が存在する。
回答を見る
正解: B
質問 #156
リスクマネジメントのフレームワーク、基準、実務について正しいものはどれか。それぞれの正解は、解決策の一部を表しています。3つ選びなさい。
A. リスク報告
B. オペレーショナル・リスク
C. 法的リスク
D. 戦略的リスク
回答を見る
正解: ACD
質問 #157
次の統制のうち、経営方針に忠実な機能領域における業務効率に焦点を当てたものはどれか。
A. 主なリスク指標
B. 能力成熟度モデル
C. 主要業績評価指標
D. メトリックしきい値
回答を見る
正解: C
質問 #158
能力成熟度モデルは、企業が自らを最も成熟していないレベルから最も成熟したレベルまで格付けするために使用するモデルである。次の能力成熟度レベルのうち、企業がリスク管理やITリスクによるビジネスへの影響を考慮する必要性を認識していないことを示しているのはどれですか?
A. レベル2
B. レベル0
C. レベル3
D. レベル1
回答を見る
正解: B
質問 #159
あなたは企業のプロジェクトマネージャーである。リスクマネジメントを実施する中で、あなたには、企業が特定の実務においてどのような状況にあるかを特定し、また改善の優先順位を提案するという課題が与えられています。このタスクを達成するために、次のどのモデルを使用しますか?
A. 能力成熟度モデル
B. 決定木モデル
C. フィッシュボーン・モデル
D. シミュレーション・ツリー・モデル
回答を見る
正解: A
質問 #160
以下の定義で説明されるものはどれか。「リスクを取ることによる期待保証額である。
A. 確実性等価値
B. リスク・プレミアム
C. リスク価値保証
D. 確実な価値保証
回答を見る
正解: A
質問 #161
ITリスク実務者は、緩和活動が承認されたリスクアクションプランと異なると判断しました。リスク担当者が取るべき最善の行動はどれか。
A. 承認が得られるまで、実施済みの緩和策を元に戻す。
B. 実施されたリスク軽減策の妥当性を検証する。
C. 観察結果を最高リスク責任者(CRO)に報告する。
D. 実施されたリスク軽減措置でリスク登録簿を更新する。
回答を見る
正解: B
質問 #162
統合されたリスク登録簿ではなく、分散されたリスク登録簿を維持することの最大の懸念は何か?
A. 統合されたリスクは、企業のリスク選好度と許容度を超える可能性がある。
B. リスク登録の管理に重複した資源が使用される可能性がある。
C. リスク管理手法の標準化を実施するのは難しいかもしれない。
D. 影響度と可能性の尺度が一様でないため、リスク分析に一貫性がない可能性がある。
回答を見る
正解: D
質問 #163
アクセス制御の原則は次のうちどれですか。3つ選びなさい。
A. リスク報告はタイムリーに
B. 複雑なメトリクスには微調整が必要
C. 脅威と脆弱性は時間とともに変化する
D. リスク回避に役立つ
回答を見る
正解: ABD
質問 #164
2002年サーベンス・オクスリー法第302条によると、報告書の認証とは何を意味するのでしょうか?各正解は完全な解答を表しています。3つ選びなさい。
A. リスク管理
B. リスク対応の統合
C. リスク対応の実施
D. リスク対応の追跡
回答を見る
正解: BCD
質問 #165
重要業績評価指標(KPI)の有効性にとって最も重要なものはどれか?
A. 経営陣の承認
B. オートメーション
C. 年次レビュー
D. 関連性
回答を見る
正解: B
質問 #166
定性的リスク分析プロセスの唯一のアウトプットはどれか?
A. プロジェクト管理計画
B. リスク登録の更新
C. 組織的プロセス資産
D. 企業環境要因
回答を見る
正解: B
質問 #167
次のうち、リスクレベルの傾向を把握するのに最も適したものはどれか。
A. 主要リスク指標(KRI)の測定は繰り返し可能である。
B. 主要リスク指標(KRI)の定性的定義を使用する。
C. 主要なリスク指標(KRI)には定量的な測定値を用いる。
D. リスクレベルと主要リスク指標(KRI)の相関は正
回答を見る
正解: C
質問 #168
営業部長のジェーンから連絡があり、プロジェクトチームが組織向けに作成中のソフトウェアに新機能を追加するよう要求された。彼女はミーティングで、スコープの変更がいかに重要かをあなたに伝えた。あなたは彼女に、ソフトウェアはほぼ完成しており、今変更を加えると納期が遅れ、追加費用がかかり、プロジェクトに新たなリスクをもたらす可能性があることを説明する。ジェーンは立ち上がり、あなたに向かってこう言った。
A. その変更を直ちにプロジェクトスコープに含める。
B. 時間があれば、プロジェクトチームに変更を含めるように指示する。
C. 口頭での変更要求は実施しない。
D. ジェーンをプロジェクト・スポンサーに報告し、変更を加える。
回答を見る
正解: C
質問 #169
あなたが特定したリスク事象のひとつが不可抗力に分類されます。どのようなリスク対応が考えられますか?
A. 受諾
B. 転移
C. 強化
D. 緩和
回答を見る
正解: A
質問 #170
統制環境に管理されていない変更が加えられた場合、最も懸念されるのはどれか。
A. コントロールの脆弱性の増加
B. 内在的リスクの増大
C. レイヤリング効果の低下
D. 残留リスクレベルの上昇
回答を見る
正解: B
質問 #171
リスク閾値を指定するために使用されるマトリックスは、次のうちどれですか?
A. リスク指標マトリックス
B. インパクト・マトリックス
C. リスク・シナリオ・マトリックス
D. 確率行列
回答を見る
正解: A
質問 #172
あなたはGHTプロジェクトのプロジェクトマネジャーです。あなたは、現在進行中のプロジェクトで、発生すればプロジェクトコストを67万ドル削減できるリスク事象を特定しました。あなたの組織は、このコスト削減を確実に実現するために、適切なプロジェクト管理手法の確立を支援するベンダーの採用を検討しています。このリスク事象に関する次の記述のうち、正しいものはどれですか?
A. このリスク事象は、プロジェクトにとっての脅威を上回る報酬が得られるため、受け入れるべきである。
B. このリスクは、貯蓄を活用するために軽減されるべきである。
C. このリスクはプロジェクトにとってチャンスであり、利用すべきである。
D. これは、潜在的な節約を最大限に活用するために共有されるべきリスク事象である。
回答を見る
正解: D
質問 #173
定量的リスク分析プロセスには5つのインプットがある。次のうち、定量的リスク分析プロセスのインプットでないものはどれか?
A. リスク管理計画
B. 企業環境要因
C. コスト管理計画
D. リスク登録
回答を見る
正解: B
質問 #174
ある組織のセキュリティで保護された物理的な敷地内に、不正な個人がソーシャルエンジニアリングで侵入した。このような事態を未然に防ぐための最善の方法はどれか。
A. セキュリティ・アクセス・バッジを要求する
B. 警備員を雇う
C. 防犯カメラの設置
D. セキュリティ意識向上トレーニングの実施
回答を見る
正解: D
質問 #175
リスク対応戦略への投資を正当化する際、最も助けになるのはどれか?
A. 費用便益分析
B. ビジネスインパクト分析
C. 総所有コスト
D. リソース依存分析
回答を見る
正解: A
質問 #176
継続的なリスクアセスメントを実施する主な理由はどれか?
A. リスク環境は変化する可能性がある。
B. 情報セキュリティ予算は正当化されなければならない。
C. 顕在化したリスクは、経営陣に継続的に報告されなければならない。
D. 新しいシステムの脆弱性は頻繁に出現する。
回答を見る
正解: A
質問 #177
組織内のITリスクを共通に把握する方法として、最も適切なものはどれか。
A. ITリスクプロファイルの確立と伝達
B. ITリスク分析の実施と公表
C. ITリスク評価のためのデータ収集
D. バランススコアカードの活用
回答を見る
正解: B
質問 #178
特定されたリスク要因の詳細を記載したリスク登録簿を定期的に見直し、更新することは、第一に以下のことに役立つ:
A. ステークホルダーに対し、リスクに基づく意思決定のための最新情報を提供する。
B. リスクアセスメントのためのリスクシナリオの数を最小限にする。
C. さまざまな事業部門にわたって特定されたリスクシナリオの集約
D. 経営陣によるレビューのために、組織の脅威プロファイルを作成する。
回答を見る
正解: A
質問 #179
効果的なリスク管理プログラムを示すものとして、最も適切なものはどれか。
A. リスク行動計画が上級管理職によって承認される
B. 緩和策が設計され、実施されている
C. 残存リスクは組織のリスク選好度の範囲内である。
D. リスクはリスク登録簿に記録され、追跡される。
回答を見る
正解: B
質問 #180
リスク分析に使用するリスクシナリオに含めるべきものはどれか。
A. 残留リスク
B. リスク許容度
C. リスク選好度
D. 脅威の種類
回答を見る
正解: D
質問 #181
システム管理者は、定期的なチェック中に、ファイアウォール内の侵入者を示す異常なアクティビティを識別します。次のコントロールのうち、最も侵害されている可能性が高いのはどれですか?
A. 認証
B. 身分証明書
C. データバリデーション
D. データの完全性
回答を見る
正解: A
質問 #182
経営陣が設定したリスク許容度の順守を促す最も良い方法はどれか。
A. 大きな損失となる可能性のあるリスクの回避
B. リスクを軽減するための組織リソースの増加
C. 企業リスク方針における期待の定義
D. 外部監査結果の伝達
回答を見る
正解: C
質問 #183
ベンはMJHプロジェクトのプロジェクトマネージャーとして働いている。このプロジェクトで、ベンはステークホルダーを特定し、プロジェクトの要件、ステータス、リスクを伝える準備をしている。ベンは、利害関係者の特定プロセスの一環として、サリエンスモデルを使用することを選択しました。サリエンスモデルを最もよく表している活動は次のうちどれですか?
A. ステークホルダーを、そのパワー(意思を押し付ける力)、緊急性(直ちに注意を払う必要性)、正当性(彼らの関与が適切であること)に基づいて分類する。
B. 利害関係者の権限レベル(「権力」)と、プロジェクトの成果に対する関心度(「利害」)に基づいてグループ化する。
C. 影響力/影響グリッド:ステークホルダーを、プロジェクトへの積極的な関与(「影響力」)とプロジェ クトの計画や実施への変更(「影響力」)に影響する能力に基づいてグループ化する。
D. ステークホルダーを、その権限(「パワー」)とプロジェクトへの積極的関与(「影響力」)のレベルに基づいてグループ化する。
回答を見る
正解: A
質問 #184
あるプログラムマネジャーが災害復旧テストに失敗しました。リスクプラクティショナーが次のアクションとして推奨すべきはどれですか?
A. どのような追加管理が必要かを特定する
B. ビジネスインパクト分析(BIA)の更新
C. テスト期間中に指摘された問題の優先順位付け
D. 検査結果を経営陣に伝える
回答を見る
正解: B
質問 #185
事業継続プログラムの有効性を示す最も適切な指標はどれか。
A. 事業継続テストが成功裏に実施され、問題に対処している。
B. 事業継続計画と災害復旧計画を定期的に更新する。
C. ビジネスインパクト分析を適時に見直し、更新する。
D. 事業部門は、事業継続計画とプロセスを熟知している。
回答を見る
正解: A
質問 #186
リスク実務者は、リスクと統制環境の変化を伝えるための報告書を作成している。利害関係者の関心を引く最善の方法は、次のとおりである:
A. オペレーショナル・エクセレンスを達成するためのロードマップを含む
B. 情報を利害関係者のニーズに関連付ける要約を含む。
C. 関係者向けにオンデマンドで報告書を発行する。
D. 業界ベンチマークからの詳細な乖離を含む
回答を見る
正解: A
質問 #187
リスク対応に優先順位をつける場合、経営者はまず第一に考えるべきである:
A. ソリューションを実施するための組織の能力と専門知識を評価する。
B. 類似組織のリスク対応を評価する。
C. どのようなリスク要因が高い是正費用をもたらすかを判断する。
D. 効率的かつ効果的な解決策がある高リスク要因に対処する。
回答を見る
正解: A
質問 #188
あなたは企業で働いています。あなたのプロジェクトでは、コンピュータに保存されている重要なファイルを扱っています。あなたは、運用が失敗するリスクを特定しました。この障害リスクに対処するため、あなたはシステム管理者が毎日のバックアップに署名するよう指導しました。このシナリオは、次のどの例ですか?
A. 運用
B. 財務
C. インフォメーション
D. 戦略的
回答を見る
正解: D
質問 #189
ウェンディは、自分のプロジェクトにおいて、7万5,000ドルの影響があり、60パーセントの確率で発生するリスク事象を特定した。調査を通じて、彼女のプロジェクト・チームは、このリスク事象が発生する確率は10%で、その影響をわずか15,000ドルに軽減できることを知る。提案された解決策は25,000ドルかかる。ウェンディは25,000ドルの解決策に同意する。これはどのようなリスク対応でしょうか?
A. 緩和
B. 回避
C. 転移
D. 強化
回答を見る
正解: A
質問 #190
企業がIT部門の大部分をサードパーティにアウトソーシングし、そのサードパーティのサーバーが外国にある場合、最も重要なセキュリティ上の考慮事項はどれか。
A. セキュリティ侵害の通知は、時差のために遅れる可能性がある。
B. 社内のセキュリティとプライバシーに関するガイドラインの遵守状況を監視できない。
C. 原産国の法令が外国で執行できない場合がある。
D. ネットワーク侵入検知センサーを追加設置する必要があり、追加コストが発生する。
回答を見る
正解: C
質問 #191
あなたは組織のプロジェクトマネージャーです。あなたは定量的リスク分析の準備をしています。プロジェクトチームのメンバーであるマークは、定性リスク分析を終えたばかりなのに、なぜ定量リスク分析をする必要があるのかを知りたがっています。次の記述のうち、定量的リスク分析とは何かを最も適切に定義しているものはどれですか?
A. 定量的リスク分析とは、確率が高く、プロジェクトの目的に最も大きな影響を与えるリスク事象を検討することである。
B. 定量的リスク分析とは、リスクの発生確率と影響度を評価し、組み合わせることによって、更なる分析又は対策のためにリスクに優先順位をつけるプロセスである。
C. 定量的リスク分析とは、特定されたリスクがプロジェクト全体の目的に及ぼす影響を数値的に分析するプロセスである。
D. 定量的リスク分析とは、各リスク事象の確率と影響に基づいてリスク対応を計画し、定量化することである。
回答を見る
正解: C
質問 #192
ある組織の重要なベンダーでシステム侵害が話題になった後、そのベンダーは追加の緩和策を実施した。ベンダは、以下の一連の評価を自発的に共有した:ベンダーの統制環境の残存リスクを評価するために、最も信頼できるインプットはどれか。
A. 外部監査
B. 内部監査
C. ベンダー・パフォーマンス・スコアカード
D. 規制当局による審査
回答を見る
正解: B
質問 #193
あなたは会社のNKJプロジェクトのプロジェクトマネージャーです。このプロジェクトの成否は、来年度の組織の収益性に大きな影響を与えます。経営陣はリスク事象を回避したいと考えており、このプロジェクトにおける各リスク事象のコスト・ベネフィットを分析する必要があります。このプロジェクトにおけるステークホルダーの許容度の低さを何と呼ぶか。
A. 緩和対応プロジェクト管理
B. リスク回避
C. リスク効用関数
D. リスクとリターンの考え方
回答を見る
正解: C
質問 #194
成功するリスク認識トレーニングプログラムの最も重要な要素はどれか。
A. 公認規格へのマッピング
B. 測定基準の提供
C. 観客に合わせたコンテンツのカスタマイズ
D. 参加者へのインセンティブの提供
回答を見る
正解: B
質問 #195
リスクコミュニケーションに関する次の記述のうち、正しいものはどれか。それぞれの正解は完全な解答を表しています。3つ選びなさい。
A. プロジェクトのスコープに影響を与える可能性のある未知の事象です。
B. プロジェクト遂行中の不確実な出来事や条件である。
C. プロジェクトコストに影響を与える可能性のある不確実な事象である。
D. 少なくとも1つのプロジェクトの目的に影響を与えうる不確実な事象である。
回答を見る
正解: ACD
質問 #196
インシデント対応を成功させるために最も重要なものはどれか。
A. 攻撃制御ツールによって記録されるデータ量
B. 攻撃源を追跡する能力
C. 攻撃認知の適時性
D. 攻撃ルートを即座にブロックする
回答を見る
正解: C
質問 #197
ショーンはHWTプロジェクトのプロジェクトマネージャーである。このプロジェクトでショーンのチームは、当初の見積もりよりも安くプロジェクト作業を完了する方法を見つけたと報告する。プロジェクトチームは、プロジェクト作業の自動化に役立つ新しいソフトウェアを発表する。このソフトウェアと関連トレーニングには2万5000ドルかかるが、プロジェクトの総費用は6万5000ドル近く節約できる。ショーンはこのソフトウェアに同意し、それに応じてプロジェクト管理計画を変更する。どのようなリスク対応が必要ですか?
A. 避ける
B. 受け入れる
C. エクスプロイト
D. 強化
回答を見る
正解: C
質問 #198
リスクアセスメントでIT資産を分類する一番の理由は、それを判断することである:
A. 適切な保護レベル
B. 企業のリスクプロファイル
C. リスク登録における優先順位
D. ビジネス・プロセス・オーナー
回答を見る
正解: A
質問 #199
リスクが特定された後、誰が適切なリスク治療の選択肢を選ぶことができるのか?
A. リスク・プラクティショナー
B. リスクオーナー
C. コントロール・オーナー
D. ビジネス・プロセス・オーナー
回答を見る
正解: A
質問 #200
管理コストの評価中に、経営陣は年間コストがリスクの年間損失予想額(ALE)を上回っていることを発見する。これは
A. 管理は非効率であり、強化すべきである。
B. リスクが非効率的にコントロールされている
C. リスクが効率的にコントロールされている
D. コントロールが弱いので撤去すべき
回答を見る
正解: B
質問 #201
KRIを実施する際によくある間違いは次のうちどれですか?それぞれの正解は完全な解決策を表しています。3つ選びなさい。
A. 運用
B. 財務
C. 行政
D. スペシャライズド
回答を見る
正解: ACD
質問 #202
ファイアウォールが企業のセキュリティポリシーに準拠して構成されていることを保証する最善のものはどれか。
A. ファイアウォール管理者にインタビューする。
B. 実際の手順を確認する。
C. デバイスのログファイルに最近の攻撃がないか確認してください。
D. パラメータ設定を見直す。
回答を見る
正解: D
質問 #203
リスクレベルが高い、あるいは許容できないレベルに近づいていることを示す最も効果的な方法はどれか?
A. リスク登録
B. 原因と結果の図
C. リスク指標
D. 投資利益率
回答を見る
正解: C
質問 #204
リスク実務者が利害関係者のリスクに対する理解を深めるために最も有効なものはどれか。
A. 脅威分析
B. 主なリスク指標
C. リスクシナリオ
D. ビジネスインパクト分析
回答を見る
正解: A
質問 #205
あなたはGHTプロジェクトのプロジェクトマネージャーです。あなたはリスク対応プロセスを計画し、さまざまな管理策を実施しようとしています。どの管理策に頼る前に、あなたは何をすべきでしょうか?
A. リスクは重要であり、管理する必要があるという理解はあるが、技術的な問題として捉えられており、ビジネスは主にITリスクのマイナス面を考慮している。
B. リスクを伴う決定には信頼できる情報が欠けている
C. リスク選好度と許容度は、エピソードごとのリスク評価時にのみ適用される
D. リスク管理スキルはその場限りで存在するが、積極的に開発されていない
回答を見る
正解: AC
質問 #206
ある組織が、顧客データをホストするすべてのデータベースに暗号化を導入するプロジェクトを完了した。この変更を反映するために、リスク登録の次の要素のどれを更新すべきか?
A. リスク許容度
B. 固有のリスク
C. リスク選好度
D. リスクの可能性
回答を見る
正解: B
質問 #207
承認された要件を満たすリソースが必要とする仕様を特定するベースラインはどれか。
A. 機能的ベースライン
B. ベースライン
C. 製品ベースライン
D. 発達のベースライン
回答を見る
正解: B
質問 #208
リスクマネジメントプログラムの状態を示すものとして、最も適切なものはどれか。
A. コントロールの数。
B. 残存リスク量。
C. リスク登録項目数。
D. 財政的支援のレベル
回答を見る
正解: B
質問 #209
サービス・プロバイダーへのアウトソーシングに関連する懸念事項として、最も一般的なものはどれか。
A. 両立しない職務の組み合わせ
B. データの不正使用
C. サービス拒否攻撃
D. 技術的専門知識の欠如
回答を見る
正解: B
質問 #210
次のうち、リスクマネジメントのフェーズに含まれるものはどれか?
A. インシデント対応を開始する
B. リスク登録の更新
C. リスクを完全に排除する
D. リスク事象から学んだ教訓を伝える
回答を見る
正解: ABCD
質問 #211
誰がリスク処理の責任を負うのか?
A. リスクオーナー
B. リスク軽減マネージャー
C. 企業リスク管理チーム
D. ビジネス・プロセス・オーナー
回答を見る
正解: A
質問 #212
次のうち、実際のリスク・エクスポージャーとアペタイトの関係を最もよく表しているものはどれか?
A. 許容限度を超える残余リスク。
B. リスクプロファイルのリスクイベント
C. 高リスクシナリオの割合。
D. リスク許容度を超える管理
回答を見る
正解: D
質問 #213
効果的なリスクコミュニケーションBESTは、次のような形で組織に利益をもたらす:
A. IT統制の有効性の向上
B. 担当者がより良い情報に基づいた意思決定を行えるようにする
C. リスク評価プロセスへの参加を増やす
D. リスク登録簿の作成支援
回答を見る
正解: A
質問 #214
ベスはJHGプロジェクトのプロジェクトチームメンバーである。ベスはプロジェクトに新たな機能を追加したため、プロジェクト作業に新たなリスクが発生した。JHGプロジェクトのプロジェクトマネージャーは、ベスが追加した機能を削除することにした。リスクを取り除くために追加機能を削除するプロセスを何と呼ぶか?
A. 探偵コントロール
B. 予防的管理
C. 是正措置
D. スコープ・クリープ
回答を見る
正解: B
質問 #215
特定されたリスクがプロジェクト目標に影響を及ぼす可能性と結果を評価し、各リスクにリスクスコアを割り当て、優先順位付けされたリスクのリストを作成することは、次のどのプロセスを表していますか?
A. 定性的リスク分析
B. リスク管理の計画
C. リスクの特定
D. 定量的リスク分析
回答を見る
正解: A
質問 #216
あなたはブルーウェル社のリスク担当者です。あなたはいくつかのリスクに優先順位をつけることになっています。あるリスクは、発生、重大度、検出の評価がそれぞれ4、5、6となっています。あなたはそのリスクにどのようなリスク優先順位番号(RPN)をつけますか?
A. 120
B. 100
C. 15
D. 30
回答を見る
正解: A
質問 #217
リスク対応を策定する際、最も優先すべきはどれか。
A. リスクへの対応は予算に計上されている。
B. リスク対応が組織のリスク選好度と整合している。
C. リスク対応は費用便益分析に基づいている。
D. リスク対応は、全体的な視点でリスクに対処する。
回答を見る
正解: C
質問 #218
リスクヒートマップは、リスクを促進するためのITリスク分析の一部として最も一般的に使用される:
A. 治療
B. 識別
C. コミュニケーション
D. 評価
回答を見る
正解: D
質問 #219
ある組織が新しい事業の買収を検討しており、その意思決定の指針となる新しいITリスクシナリオを作成したいと考えている。新しいリスクシナリオに最も付加価値を与えるものはどれか?
A. 監査結果
B. 予想損失
C. 費用便益分析
D. 組織の脅威
回答を見る
正解: D
質問 #220
ユーザーアカウントが適切に認証されたことを示す最も適切な証拠はどれか。
A. 人事部からのアカウント有効の通知
B. 利用者のマネージャーによるアカウントの正式な承認
C. リクエストフォームに一致するユーザー権限
D. アカウントを承認するユーザーからのメール
回答を見る
正解: C
質問 #221
インターネットサイトにおける企業ブランドの不正使用に関連するリスクを軽減する方法として、最も適切なものはどれか。
A. データ損失防止技術の活用
B. インターネットをスキャンして不正利用を探す
C. 企業のインターネット利用の監視
D. トレーニングと意識向上キャンペーンの展開
回答を見る
正解: B
質問 #222
次のうち、脆弱性とみなされるものはどれか?
A. 従業員のアクセス削除の遅れ
B. マルウェアによるファイルの破損
C. 人事ファイルへのアクセス権限
D. サービス拒否(DoS)攻撃によるサーバーのダウンタイム
回答を見る
正解: A
質問 #223
あなたはHJKプロジェクトのプロジェクトマネージャーです。あなたとプロジェクトチームは、プロジェクトの多くのリスク事象に対するリスク対応策を作成しました。その対応案と、特定されたすべてのリスクの現状をどこに文書化すべきでしょうか?
A. 対応コスト
B. 対応実施能力
C. リスクの重要性
D. 対応の効率性
回答を見る
正解: C
質問 #224
あなたは企業の管理者です。不正な個人による機密情報へのアクセスから企業を保護するために、次の管理策のうちどれを使用するのが最も効果的ですか?
A. ログオン失敗の監視と記録
B. 定期的なパスワード変更の強制
C. チャレンジ・レスポンス・システムの使用
D. 知る必要がある場合にアクセスを提供すること
回答を見る
正解: D
質問 #225
リスク管理戦略を採用する主な目的は以下の通りである:
A. 法的要件の遵守
B. クレームや損失に対して必要な予防措置を講じる。
C. ビジネスとIT資産のリスクを回避する
D. 許容可能な残留リスクレベルを達成する
回答を見る
正解: B
質問 #226
ある組織の内部監査人が、組織のアイデンティティ・アクセス管理(IAM)システムにおける新たなIT統制の不備を指摘した。リスクプラクティショナーにとって最も重要なことは、以下のことである:
A. フォローアップのリスク評価を実施し、リスクの影響を定量化する。
B. 該当するリスク所有者がリスクを理解していることを確認する。
C. 欠陥に対処するために、代償となる管理策を実施する。
D. 欠陥システムの交換を勧める
回答を見る
正解: C
質問 #227
あなたは株式会社でプロジェクトマネージャーとして働いている。あなたはあるプロジェクトのリスクマネジメントを実施しなければなりません。あなたは、リスクマネジメントプロセスにおいて、次のどのインプットを使用しますか。(3つ選びなさい)
A. 品質管理計画
B. リスク管理計画
C. リスク登録
D. プロジェクト憲章
回答を見る
正解: BCD
質問 #228
リスクアセスメントの後、リスク登録簿を更新する場合、次のうちどれを含めることが最も重要か?
A. リスクシナリオのアクターと脅威タイプ
B. 過去のリスク事象による過去の損失
C. 影響と可能性を減らすためのコスト
D. リスクシナリオの可能性と影響
回答を見る
正解: D
質問 #229
コントロールの主な目的は何か?
A. 検知、回復、攻撃
B. 予防、対応、記録
C. 予防、コントロール、攻撃
D. 予防、回復、検出
回答を見る
正解: D
質問 #230
あなたは、新しいワークステーション、サーバー、ケーブル配線を新しいビルに設置するプロジェクト・マネージャーです。このプロジェクトのベンダーから、何らかの理由でケーブルのコストが上がったと連絡があった。この新たなコストにより、プロジェクトのコストは8パーセント近く増えることになります。このコストは、どのような変更管理システムに入力し、レビューすべきでしょうか?
A. コスト変更管理システム
B. 契約変更管理システム
C. スコープ変更管理システム
D. プロジェクトスコープに対する変更のみが、変更管理システムを通過すべきである。
回答を見る
正解: A
質問 #231
組織の行動規範を確立することは、どのタイプの統制の例か?
A. 指令
B. 予防的
C. 探偵
D. 補償
回答を見る
正解: A
質問 #232
ユーザー機器の脆弱性を低減するための管理策が、経営陣のアクションプランに従って実施されたかどうかを検証する方法として、最も適切なものはどれか。
A. デバイスの所有者を調査する。
B. 意識向上トレーニングの評価結果を見直す。
C. ユーザー環境を再スキャンする。
D. 毎年のエンドユーザーポリシーの受諾を要求する。
回答を見る
正解: C
質問 #233
ユーザーのアクティビティログを監視するためのコントロールを実装する際に、最も考慮すべきことは次のうちどれですか?
A. 異なるソースから収集されたログ間の相関関係の構築
B. コントロールがリスクに比例していることを確認する。
C. 制御を自動化するためのログ分析ツールの導入
D. ログ解析に必要なリソースの確保
回答を見る
正解: D

送信後に回答を表示する

質問の回答を得るには、電子メールと WhatsApp を送信してください。

注: 正しい試験結果を得ることができるように、電子メール ID と WhatsApp が有効であることを確認してください。

Eメール:
WhatsApp/電話番号:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.