すべての情報を見逃したくないですか?

認定試験に合格するためのヒント

最新の試験ニュースと割引情報

当社の専門家による厳選最新情報

はい、ニュースを送ってください

CISA試験対策問題集2024年最新版、公認情報システム監査人|SPOTO

SPOTOの2024年向け最新模擬試験で、公認情報システム監査人®(CISA®)資格取得の準備をしましょう!ITおよびビジネスシステムを監査、監視、評価するためのゴールドスタンダードとして、CISA認定資格は、監査業務にリスクベースのアプローチを適用する専門知識を証明します。弊社の模擬試験は、幅広い試験問題、サンプル問題、オンライン試験問題、模擬試験をカバーしており、認定試験の準備を万全にします。弊社の試験資料、試験解答と試験シミュレーターを利用して、試験の練習と準備を強化しましょう。SPOTOの専門的かつ全面的なCISA認定試験準備教材で学習を成功させ、CISAの専門知識を自分のものにしましょう。今すぐCISA認定試験への準備を始めましょう!
他のオンライン試験を受ける

質問 #1
システム開発プロジェクトの全体的な方向性、コスト、スケジュールに責任を持つのは誰か?
A. プロジェクト・スポンサー
B. プロジェクト運営委員会
C. 上級管理職
D. プロジェクトチームリーダー
回答を見る
正解: A
質問 #2
IS 監査人が、第三者によって提供された注文管理サービスに関連するサービスレベル管理監査を完了した。最も重要な発見事項はどれか。
A. 第三者はオフショア支援の手配をしている。
B. サービスレベル未達に対する罰則は制限されている。
C. サービスレベル合意は、可用性の測定方法を定義していない。
D. サービスデスクのサポートは、会社の営業時間外には利用できない。
回答を見る
正解: C
質問 #3
次のうち、探偵コントロールはどれか?
A. 取引の承認手続き
B. 電気通信におけるエコー検査
C. サービスを制限するルーター・ルール
D. プログラムによる編集チェック
回答を見る
正解: B
質問 #4
テープライブラリの在庫記録が正確であることを検証するための実体テストは、以下のとおりである:
A. バーコードリーダーが設置されているかどうかを判断する。
B. テープの移動が許可されているかどうかを判断する。
C. テープ在庫の物理的なカウントを行う。
D. 領収書とテープの発行が正確に記録されているかをチェックする。
回答を見る
正解: A
質問 #5
次のうち、リスクを軽減する仕組みはどれか?
A. セキュリティと管理の実践
B. 損害保険および賠償責任保険
C. 監査と認証
D. 契約とサービス・レベル・アグリーメント(SLA)
回答を見る
正解: B
質問 #6
ジョンはある有名な金融機関の新しいポジションに採用された。そのポジションはIS監査人である。彼は、ある重要な財務システムのIS監査を完了するよう命じられました。IS監査計画において、ジョンが最初に実施すべきステップはどれか。
A. リスクアセスメントの実施
B. 監査の目的の決定
C. ビジネスプロセスを理解する
D. 監査に人的資源を割り当てる
回答を見る
正解: D
質問 #7
電子メールによる個人情報漏洩の可能性を最も低くするものはどれか。
A. 強力なユーザ認証プロトコル
B. 電子メールの暗号化
C. 電子メールの私的利用の禁止
D. ユーザー意識向上トレーニング
回答を見る
正解: B
質問 #8
ある情報セキュリティチームが、アクセスポリシーに違反して、機密情報を含むアプリケーションへのログインアカウントをユーザーが共有していることを発見した。ビジネスマネジメントは、この慣行が業務効率を高めていると指摘している。情報セキュリティマネジャーが取るべき最善の行動は、以下のとおりである:
A. ポリシーを修正する
B. 上級管理職にリスクを提示する
C. ポリシーを実施する
D. 逸脱の例外を設ける
回答を見る
正解: C
質問 #9
データウェアハウスで不正確なデータが発見された後、ある組織はデータのプロファイリング、クレンジング、および処理フィルタを実装し、接続されたソースから取得したデータの品質を向上させた。どのタイプの管理が適用されましたか?
A. 予防的管理
B. 是正管理
C. 補償制御
D. 探偵コントロール
回答を見る
正解: B
質問 #10
重要な財務アプリケーションをクラウドベンダーにアウトソーシングすることを計画している組織のITガバナンスを監査する場合、監査人にとって最も重要な検討事項は次のとおりである:
A. 委託システムのコスト。
B. サービス終了条項が含まれていること。
C. 業界標準との整合性。
D. ビジネス要件との整合性
回答を見る
正解: B
質問 #11
コントロールの自己評価に関連する最も大きな懸念事項はどれか。
A. 従業員の管理に対する認識が不十分である可能性
B. コントロールが客観的に評価されない可能性
C. 経営陣と上級管理職のコミュニケーションがうまくいっていない可能性がある。
D. アセスメントは、利害関係者に十分な保証を提供しない可能性がある。
回答を見る
正解: B
質問 #12
ダイレクトカットオーバーを使用して新しい基幹システムへの移行を準備する場合、次のIS監査結果のうち、最も懸念すべきものはどれか。
A. いくつかの重要なレポートに対する不完全なテストケース
B. 本番稼動に対する非公式な経営陣の承認
C. システム稼動時のロールバック戦略の欠如
D. 本稼働後、長期にわたっていくつかの回避策を使用する予定である。
回答を見る
正解: A
質問 #13
組織がPlatform as a Service(PaaS)を利用する理由として、最も可能性が高いものはどれか。
A. サードパーティがホストするアプリケーションの運用
B. オペレーティングシステムのインストールと管理
C. ネットワークとセキュリティのアーキテクチャを確立する
D. アプリケーションの開発と統合
回答を見る
正解: B
質問 #14
IS 監査員が、直近の 10 件の「新規ユーザー」フォームが正しく承認されているかどうかを判断するため、ア プリケーションへのアクセスをレビューしている。これはその例である:
A. 変数サンプリング。
B. 実体テスト C
C. D
回答を見る
正解: D
質問 #15
許可されたプログラムの出口(トラップドア)にはどのようなリスクがあるのか?
A. 事業リスク
B. 監査リスク
C. 探偵のリスク
D. 内在的リスク
回答を見る
正解: A
質問 #16
サービスがアウトソーシングされた場合、ISマネジメントが行うべき最も重要な機能はどれか。
A. プロバイダーへの請求書の確実な支払い
B. プロバイダーとのシステム設計への参加
C. プロバイダーの料金再交渉
D. アウトソーシング・プロバイダーのパフォーマンス監視
回答を見る
正解: B
質問 #17
開発コストを削減し、品質を維持しながら、戦略上重要なシステムを迅速に開発するための管理手法はどれか。
A. ファンクションポイント分析
B. クリティカルパス方法論
C. 迅速なアプリケーション開発
D. プログラム評価レビュー手法
回答を見る
正解: C
質問 #18
コンピュータセキュリティインシデントが検出され、インシデントレスポンスチームによって分析された直後に実施すべきことはどれか。
A. インシデントが重要なシステムに与える影響の評価
B. 事件を分類する
C. 事件の原因となったコンポーネントを除去する
D. 事件が拡大する前に食い止める
回答を見る
正解: B
質問 #19
分散環境におけるサーバー障害の影響を最小限に抑えるには、次のうちどれが最適ですか?
A. 冗長経路
B. クラスタリング
C. ダイヤルバックアップ回線
D. 待機電力
回答を見る
正解: D
質問 #20
セキュリティ・インシデントが発生した場合、セキュリティ・マネジャーは何を第一の目標とすべきか?
A. 侵害の発生源と、それがどのように行われたかを特定する。
B. 脅威を封じ込め、適時に業務を復旧させる。
C. 通常業務が中断されないようにする。
D. 業務管理の有効性の欠如を特定する。
回答を見る
正解: D
質問 #21
企業の情報セキュリティポリシーに含まれる可能性が最も高いものはどれか。
A. パスワード構成要件
B. コンプライアンス違反の結果
C. 監査証跡のレビュー要件
D. セキュリティ監視戦略
回答を見る
正解: D
質問 #22
IS監査人は、定量化できない脅威や潜在的な損失を用いてリスクを計算しようとしているため、リスク分析が常に可能とは限らない。この場合、_________________________リスクアセスメントがより適切である。空欄を埋めなさい。
A. 定量的、定性的
B. 定性的、定量的C
C. D
回答を見る
正解: A
質問 #23
プロトタイピングを使って開発されているビジネス・アプリケーション・システムの変更管理は、次のような理由で複雑になる可能性がある:
A. プロトタイピングの反復性。
B. 要件や設計の変更ペースが速い。
C. レポートとスクリーンに重点を置く。
D. 統合ツールの欠如
回答を見る
正解: A
質問 #24
次のうち、境界ファイアウォールの効果的な運用に最も大きな影響を与える弱点はどれか?
A. ファイアウォール・アクティビティのアドホック・モニタリング
B. ファイアウォール・ソフトウェアへのバックドアの可能性
C. ファイアウォールルールの設定ミス
D. デフォルト設定のステートフル・ファイアウォールの使用
回答を見る
正解: C
質問 #25
システム開発ライフサイクル(SDLC)プロジェクトのフェーズと成果物を決定すべきである:
A. プロジェクトの初期計画段階において。
B. 初期のプランニングが完了した後、仕事が始まる前。
C. 作業段階を通じて、リスクとエクスポージャーに基づく。
D. すべてのリスクとエクスポージャが特定され、IS監査人が適切な統制を推奨した後でなければならない。
回答を見る
正解: B
質問 #26
審査を正式に終了する前に受審者と面談する主な目的は、以下のとおりである:
A. 監査人が重要な問題を見落としていないことを確認する。
B. 調査結果について合意を得る。
C. 監査手続の妥当性に関するフィードバックを受ける。
D. 最終プレゼンテーションの構成をテストする。
回答を見る
正解: D
質問 #27
EDI環境におけるセキュリティ上の最大の関心事は何でしょうか?
A. トランザクション認証
B. 取引の完全性
C. 取引の正確性
D. トランザクションの承認
回答を見る
正解: D
質問 #28
ある組織が、収益性向上のために事業体を分割する戦略的決定を下した。しかし、ITインフラストラクチャは事業体間で共有したままである。IS監査が年次計画の一環としてIT環境の主要なリスク領域を引き続きカバーするために、次のうちどれが最も有効か。
A. 各事業体に対するリスクベースのIS監査頻度の増加
B. 分割後に導入されたIT変更に焦点を当てたIS監査計画の見直し
C. 新しく導入されたITポリシーと手順の監査の実施
D. 各企業の業務プロセスを考慮したリスクベースの計画の策定
回答を見る
正解: D
質問 #29
次のクラウド・コンピューティング・サービス・モデルのうち、インターネット上でオペレーティング・システムやストレージ、ネットワーク容量をレンタルする方法を提供するものはどれか?
A. サービスとしてのソフトウェア
B. サービスとしてのデータ
C. サービスとしてのプラットフォーム
D. サービスとしてのインフラ
回答を見る
正解: D
質問 #30
本番環境で内部開発されたアプリケーションに対して侵入テストを実施する際に、最も懸念されることはどれですか?
A. テストによってアプリケーションの可用性に問題が生じる可能性がある。
B. テストは、既知のオペレーティング・システムの脆弱性だけを特定するかもしれない。
C. C
回答を見る
正解: B
質問 #31
高度に規制された業界における情報セキュリティプロジェクトのビジネスケースに含めるべき情報で、最も重要なものはどれか。
A. 業界比較分析
B. 重要な監査結果
C. コンプライアンス・リスク評価
D. セキュリティ・インシデントの報告件数
回答を見る
正解: A
質問 #32
IS運営委員会はこうあるべきだ:
A. さまざまな部門やレベルのスタッフが混在している。
B. ISのセキュリティ方針と手順が適切に実行されていることを確認する。
C. 正式な職務権限を定め、会議の議事録を作成する。
D. 毎回のミーティングで、ベンダーから新しいトレンドや製品について説明を受ける。
回答を見る
正解: B
質問 #33
効果的な情報セキュリティ戦略を策定する上で、最も重要な推進要因はどれか。
A. セキュリティ監査報告書
B. ベンチマークレポート
C. 情報セキュリティ基準
D. 遵守事項
回答を見る
正解: B
質問 #34
リモート・サイトで入力されたデータの編集/検証は、最も効果的に行われる:
A. アプリケーション・システムを実行した後の中央処理サイト。
B. アプリケーション・システムの実行中の中央処理サイアー。
C. 中央処理サイトへのデータ送信後の遠隔処理サイト。
D. 中央処理サイトにデータを送信する前の遠隔処理サイト。
回答を見る
正解: A
質問 #35
システム開発に必要なリソースの見積もりを改善するために、IS監査人が推奨できるものはどれか。
A. 事業領域
B. プロトタイピング
C. ファンクションポイント分析
D. CASEツール
回答を見る
正解: B
質問 #36
情報セキュリティマネジャーは、最近の買収後、買収プロセスの早い段階で報告された未解決のリスクを要求された。このマネジャーが取るべき行動として、最も適切なものはどれか。
A. 被買収企業のインフラの脆弱性評価を実施する。
B. 未解決のリスクに対するリスク治療計画を再評価する。
C. 被買収企業の未解決リスクを再評価する。
D. 未解決のリスクを買収組織のリスク登録簿に追加する。
回答を見る
正解: C
質問 #37
知識ベースの情報はいくつかの方法で表現できる。次のうち、アンケートを使って、結論が出るまで一連の選択肢を通してユーザーを導く方法はどれでしょうか?
A. 決定木
B. ルール
C. 意味ネット
D. ナレッジ・インターフェイス
回答を見る
正解: A
質問 #38
情報セキュリティマネジャーが経営幹部から戦略的な支持を得る上で、最も効果的なのはどれか。
A. 世界的な情報セキュリティ侵害の動向に関する調査
B. 組織に特有のリスク分析
C. 組織内のセキュリティインシデントの年次報告書
D. 国際基準に基づく組織のセキュリティ格付け
回答を見る
正解: A
質問 #39
ある組織では、成熟したリスクマネジメントが開発され、全部門で実施されている。監査チームがこのリスクマネジメントの成熟度を活用するための最も効果的な方法は何か?
A. 監査リスクの識別と評価のワークショップの促進
B. 経営陣に代わってリスク対応を実施する
C. リスクに関する経営陣への保証の提供
D. 監査計画のためのリスク登録の統合
回答を見る
正解: C
質問 #40
効果的なITガバナンスは、IT計画が組織の計画と整合していることを保証する:
A. ビジネスプラン。
B. 監査計画
C. セキュリティプラン
D. 投資計画
回答を見る
正解: D
質問 #41
データベースシステムにおける同時実行制御の目的は、以下のとおりである:D.
A. データベースの更新を許可されたユーザーに制限する。
B. 2つのプロセスが同時に同じデータを更新しようとしたときの整合性の問題を防ぐ。
C. データベース内のデータの不注意または不正な開示を防ぐ。 データの正確性、完全性、一貫性を確保する。
回答を見る
正解: D
質問 #42
次のうち、ネットワーク管理者にとって不適切な行為はどれか。
A. ネットワーク・セキュリティ・インシデントの分析
B. サブネット間のトラフィックの優先順位付け
C. ルーター設定の変更
D. ルーターのログファイルを変更する
回答を見る
正解: B
質問 #43
ミッションクリティカルなサーバーに影響を及ぼす可能性のある新たな脆弱性に対処する有効なパッチがリリースされた。直ちに何をすべきか?
A. 緩和策を追加する。
B. サーバーのセキュリティをチェックし、パッチをインストールする。
C. 影響分析を行う。
D. サーバーをオフラインにし、パッチをインストールする。
回答を見る
正解: D
質問 #44
超過の可能性を早期に発見し、完了時の見積もり(EAC)を予測するために、時間、予算、成果物の観点からプロジェクトの進捗状況を把握するために、IS監査人がレビューすべきものはどれか。
A. ファンクションポイント分析
B. アーンドバリュー分析
C. コスト予算
D. プログラム評価とレビュー手法
回答を見る
正解: C
質問 #45
通常、プロジェクトの開始段階では、次のどのステークホルダーを巻き込むことが不可欠か?
A. システム所有者
B. システムユーザー
C. システム設計者
D. システムビルダー
回答を見る
正解: C
質問 #46
ITリスク評価を定期的に更新すべき最も重要な理由は、以下のとおりである:
A. 費用対効果の高い方法でITリソースを活用する。
B. データ分類の変更への対応
C. リスク管理方針に従う
D. IT環境の変化に対応する
回答を見る
正解: C
質問 #47
セキュリティガバナンスの枠組みの中で、情報セキュリティ委員会 の最も重要な特徴はどれか。委員会
A. セキュリティ・ポリシーを頻繁に見直す。
B. 全レベルの経営陣から構成されている。
C. 明確に定義された憲章と会議手順がある。
D. 博士号取得者は外部の専門家と関係を築いている。
回答を見る
正解: B
質問 #48
ハードウェア保守プログラムをレビューする場合、IS監査人は、以下の点を評価すべきである:
A. すべての計画外メンテナンスのスケジュールが管理されている。
B. 過去の傾向と一致している。
C. IS運営委員会によって承認されている。
D. プログラムはベンダーの仕様に照らして検証される。
回答を見る
正解: B
質問 #49
IS戦略をレビューする際、IS監査人は、IS戦略が組織のビジネス目標をサポートしているかどうかを判断することで、BEST評価することができる:
A. は必要な人員と設備をすべて備えている。
B. 計画が経営戦略と整合している。
C. 設備と人員を効率的かつ効果的に使用する。
D. 方向性の変化に対応できる十分な余力がある。
回答を見る
正解: D
質問 #50
データベース管理システムのディレクトリシステムには、次のような記述がある:
A. データへのアクセス方法
B. データの場所とアクセス方法
C. データの場所
D. データの位置も、アクセス方法も変わらない。
回答を見る
正解: B
質問 #51
トランザクションと記録をコンピュータシステム障害直前の状態に戻すために、適切なカットオフが確立されていることを確認するBESTはどれか。
A. システムコンソールログの電子形式での維持
B. 全送電線における双同期性の確保
C. データベース管理システム(DBMS)を使用して、部分的に処理されたトランザクションを動的にバックアウトする。
D. トランザクションファイルのバックアップコピーをオフサイトでローテーションする。
回答を見る
正解: C
質問 #52
ある組織は、ITリソースがどの程度活用されているかを追跡するためのパフォーマンス指標を持っているが、組織の目標達成にはほとんど進展がない。根本的な原因を突き止めるのに最も役立つのは、次のうちどれでしょうか?
A. 根本原因分析の実施
B. 組織目標の再評価
C. 主要業績評価指標(KPI)の再評価
D. ビジネスインパクト分析(BIA)の実施
回答を見る
正解: C
質問 #53
データ品質に関連するIT統制リスクを受け入れるかどうかの決定は、その責任者が行うべきである:
A. 情報セキュリティチーム
B. 最高情報責任者
C. ビジネス・オーナー
D. IS監査マネージャー
回答を見る
正解: B
質問 #54
BCPとDRPの主な目的はどれか。
A. 人命を守る
B. 事業中断のリスクと影響を軽減するために
C. 事業中断のリスクと影響を排除するために
D. 事業中断のリスクと影響の移転
回答を見る
正解: B
質問 #55
EDI環境における潜在的なリスクとして、最も大きいものはどれか。
A. 取引の承認
B. EDI伝送の紛失または複製
C. 伝送遅延
D. アプリケーション制御の確立前または確立後のトランザクションの削除または操作
回答を見る
正解: A
質問 #56
ある組織が、ソーシャルネットワーキング・マーケティングのページに、担当者が共有する単一のアカウントを使用している。このアカウントのアカウンタビリティを維持するための最良の方法は、次のうちどれですか?
A. 定期的なアクセス権の見直し
B. シングルサインオンによるアカウントの統合
C. プロキシサーバーのログの定期的な監視
D. アカウントパスワードのチェックアウトプロセスの導入
回答を見る
正解: B
質問 #57
ある小さな組織が急成長を遂げ、新しい情報セキュリティポリシーの策定を計画している。次のうち、ポリシー作成に最も関連するものはどれですか?
A. 業界標準
B. ビジネスインパクト分析
C. 事業目標
D. 過去の監査勧告
回答を見る
正解: C
質問 #58
非対称暗号化を使ってメッセージにデジタル署名を作成するには、以下のことが必要である:
A. まず、認証シーケンスに対称アルゴリズムを使用する。
B. 公開鍵を使用して認証シーケンスを暗号化する。
C. 実際のデジタル署名を暗号化されていない平文で送信する。
D. 秘密鍵を使用して認証シーケンスを暗号化する。
回答を見る
正解: C
質問 #59
オフライン印刷のための機密レポートのスプールに関連する以下のエクスポージャのうち、IS監査人が最も深刻と考えるべきものはどれか。
A. 機密データはオペレーターが読むことができる。
B. データは許可なく修正できる。
C. 無許可のレポートコピーを印刷することができる。
D. システム障害時に出力が失われる可能性がある。
回答を見る
正解: C
質問 #60
TCP/IPモデルのLANレイヤとWANレイヤのレイヤ機能を正しく説明していないのはどれか?
A. パケットをバイトに、バイトをフレームにまとめる
B. ルーターが経路決定に使用するプロバイダーの論理アドレス指定
C. MACアドレスを使ってメディアにアドレスを提供する
D. エラー検出のみを行う
回答を見る
正解: B
質問 #61
エンドユーザーコンピューティングのアウトプットの正確性と完全性を保証するためには、強力なものを含めることが最も重要である:
A. 和解のコントロール
B. 変更管理コントロール
C. アクセス管理コントロール
D. 文書管理
回答を見る
正解: A
質問 #62
ソフトウェアライセンス違反を検出する最も良い方法はどれか?
A. 著作権侵害とソフトウェア使用に関する企業方針の導入。
B. すべてのPCをディスクレスワークステーションにすることを義務付ける。
C. LAN上にメータリングソフトウェアをインストールし、メータリングソフトウェアからアプリケーションにアクセスできるようにする。
D. 使用中のPCを定期的にスキャンし、ソフトウェアの不正コピーがPCにロードされていないことを確認する。
回答を見る
正解: S
質問 #63
プロジェクト期間に時間的制約を課すタスクに人員を追加する計画を立てる場合、最初に再検証すべきはどれか。
A. プロジェクト予算
B. プロジェクトのクリティカルパス
C. 残りのタスクの長さ
D. 他の業務に割り当てられた人員
回答を見る
正解: B
質問 #64
ある企業が、多くの拠点で新しい管理システムの導入を計画している。新しいシステムには4つの統合モジュールが含まれています。次の実装アプローチのうち、最も適切なものはどれでしょうか?
A. モジュールごとの並列実装
B. 新システムの試験運用
C. 新システムの完全導入
D. すべての場所で並行運転
回答を見る
正解: C
質問 #65
IS監査人がアウトソーシング契約のレビューを完了し、ITガバナンスの問題を特定した。経営幹部とのミーティングで、この問題を伝える最も効果的かつ効率的な方法はどれか。
A. 完成した報告書を提示し、詳細を話し合う。
B. 事前に詳細な報告を行い、質問を受け付ける。
C. 主要な発見を強調した概要を発表する。
D. 行動計画とマイルストーンを提示すること。
回答を見る
正解: B
質問 #66
顧客行動に基づいて広告のターゲットを絞る新しいマーケティング・プラットフォームを計画する際、組織が完了すべき最も重要なものはどれか。
A. データプライバシー影響評価
B. データ品質評価
C. 国境を越えたデータ移転の評価
D. セキュリティ脆弱性評価
回答を見る
正解: D
質問 #67
監査資源が組織に最高の価値をもたらすことを確実にするために、最初のステップは以下の通りである:
A. 監査のスケジュールを立て、各監査に費やされる時間を監視する。
B. 社内で使用されている最新のテクノロジーについて、IS監査スタッフをトレーニングする。
C. 詳細なリスク評価に基づいて監査計画を策定する。
D. 監査の進捗状況を監視し、コスト管理措置を開始する。
回答を見る
正解: B
質問 #68
ある情報セキュリティマネジャーが、さまざまなセキュリティ管理について複数の例外を観察した。情報セキュリティマネジャーが最初にとるべき行動はどれか。
A. 例外の緩和策を設計する。
B. リスクに優先順位をつけ、治療法を実施する。
C. 例外の影響を各リスクオーナーに通知する。
D. コンプライアンス違反を取締役会に報告する。
回答を見る
正解: A
質問 #69
ある最高経営責任者(CEO)が、組織のポリシーに準拠していないモバイルデバイ スから会社の文書にアクセスするよう要求してきた。情報セキュリティマネジャーは、次のことを行う必要があります:
A. 事業リスクを評価する
B. サードパーティのソリューションを評価する
C. 例外承認プロセスを開始する
D. 追加のセキュリティ管理を導入する
回答を見る
正解: B
質問 #70
ある会社が給与システムを外部サービスから社内パッケージに変更した。4月の給与計算は並行して行われた。変換後のデータの完全性を検証するために、旧システムと新システムを比較する場合、次のうちどれが最も効果的でしょうか?
A. 給与処理の納期
B. 従業員数および年間の給与総額
C. マスターファイルの従業員データを給与ジャーナルへ
D. 従業員のサンプルの締切日と上書き
回答を見る
正解: D
質問 #71
次のうち、買掛金システムにおける予防的統制の例はどれか。
A. このシステムでは、システムのマスターベンダーリストに含まれているベンダーにのみ支払いが可能です。
B. 方針および手順は、買掛金部門の全メンバーに明確に伝えられている。
C. システムは、スタッフが請求書合計と比較するために使用する日次支払概要報告書を作成する。
D. システムとそのデータのバックアップは毎晩実行され、定期的にテストされる。
回答を見る
正解: B
質問 #72
IS監査人が監査課題の予備段階で機能ウォークスルーを実施する主な理由は、以下のとおりである:
A. ビジネスプロセスを理解する。
B. 監査基準に準拠する。
C. 管理上の弱点を特定する。
D. 実証テストを計画する。
回答を見る
正解: C
質問 #73
次のデータベース・モデルのうち、データがツリー構造になっており、各レコードに1つの親が存在するモデルはどれか。
A. 階層型データベースモデル
B. ネットワークデータベース・モデル
C. リレーショナル・データベース・モデル
D. オブジェクトリレーショナルデータベースモデル
回答を見る
正解: D
質問 #74
オペレーティング・システム内でコントロールが適切に機能しているかどうかを判断する最も効果的な手段は何か?
A. コンピューター・オペレーターへのインタビュー
B. ソフトウェア制御機能および/またはパラメータのレビュー
C. OSマニュアルの見直し
D. 製品ベンダーへのインタビュー
回答を見る
正解: C
質問 #75
セキュリティ意識向上プログラムが適切であることの最も良い証拠はどれか。
A. さまざまなレベルで研修を受けた従業員を含むステークホルダーの数。
B. 企業内の全拠点におけるトレーニングのカバー率
C. 異なるベンダーのセキュリティ・デバイスの導入
D. 定期的な見直しとベストプラクティスとの比較
回答を見る
正解: B
質問 #76
小売業者のウェブサイト上の新しいチャット機能に関連する最も大きなリスクは次のうちどれでしょうか?
A. 生産性の低下
B. 風評被害
C. データ損失
D. システムダウンタイム
回答を見る
正解: A
質問 #77
属性サンプリングにおいて、期待されるエラー率とサンプルサイズの関係は?
A. 予想されるエラー率はサンプルサイズに影響しない。
B. 期待されるエラー率が大きいほど、サンプル・サイズは小さくなります。
C. 期待される誤り率が大きければ大きいほど、サンプル・サイズは大きくなる。
D. サンプルサイズが大きければ大きいほど、期待されるエラー率は低くなる。
回答を見る
正解: B
質問 #78
許可されたアクセスの意図しない悪用を軽減するために、最も効果的なコントロールはどれか。
A. ユーザーアクセスログの定期的な監視
B. 受諾可能な使用ポリシーの年次サインオフ
C. セキュリティ意識向上トレーニング
D. 正式な懲戒処分
回答を見る
正解: D
質問 #79
自分のデバイスを持ち込む(BYOD)ポリシーを策定する際に、最も考慮すべきことは次のうちどれですか?
A. 対応OS
B. ネットワークへのアクセス手順
C. アプリケーションのダウンロード制限
D. リモートワイプ手順
回答を見る
正解: A
質問 #80
セキュリティアーキテクチャを策定するとき、最初に実行すべき手順はどれか。
A. セキュリティ手順の策定
B. セキュリティポリシーの定義
C. アクセス制御方法の指定
D. 役割と責任の明確化
回答を見る
正解: C
質問 #81
継続的なオンライン方式で、プログラム統制の包括的テストの一部としてテストデータを使用するプロセスとは?
A. テストデータ/デッキ
B. 基本システム評価
C. 統合試験施設(ITF)
D. 並列シミュレーション
回答を見る
正解: D
質問 #82
ITプロジェクトにおけるプライバシーの範囲を評価する際に考慮すべき最も重要なものはどれですか?
A. 適用法令
B. エンドユーザーのアクセス権
C. ビジネス要件
D. データの分類
回答を見る
正解: C
質問 #83
コンピュータ・フォレンジック調査を実施する際、収集した証拠に関して、IS監査人が最も関心を持つべきこと:
A. 分析。
B. 評価
C. 保全。
D. ディスクロージャー。
回答を見る
正解: A
質問 #84
全従業員を対象としたソーシャルメディアポリシーを制定する第一の理由はどれか。
A. 従業員が投稿する際に使用できるメッセージを公表すること。
B. ソーシャルメディアのリスクについての認識を高め、ガイダンスを提供する。
C. 生産性を維持するため、業務時間中のソーシャルメディアへのアクセスを制限する。
D. ソーシャルメディアへのネガティブな投稿やコメントを防止する。
回答を見る
正解: B
質問 #85
経営陣がサイバーセキュリティのインシデント対応プロセスの有効性を確認する最も良い方法はどれか。
A. インシデント対応プロセス文書の定期的な更新
B. 主要な利害関係者へのサイバーセキュリティインシデントの定期的な報告
C. 主要な利害関係者が参加する定期的な卓上演習
D. インシデント対応に携わるスタッフに対する定期的なサイバーセキュリティ研修
回答を見る
正解: A
質問 #86
情報セキュリティ管理者が誤検知のインシデント報告を受ける件数が増加している場合、見直すべき最も重要なものはどれか。
A. セキュリティ意識向上プログラム
B. 事故後の分析結果
C. リスク管理プロセス
D. ファイアウォールのログ
回答を見る
正解: C
質問 #87
人事採用システム導入の内部監査レビューにおいて、IS監査人は、システム稼動時に多くの不具合が未解決であったことを指摘した。監査意見を策定する前の監査人の最も重要なタスクは、次のうちどれですか?
A. 欠陥の根本原因を特定し、重大性を確認する。
B. ユーザー受入テストの結果を確認する。
C. プロジェクト運営委員会によるリスクの受け入れを確認する。
D. 不具合の移行スケジュールを確認する。B
E.
A. 実施後のレビューを行う。
F. B
G. C
D. 実施前レビューを行う。
回答を見る
正解: B
質問 #88
ベストプラクティスに従って、新しい情報システムの導入に関する正式な計画は、その間に策定される:
A. 開発段階。
B. 設計段階 C
C. D
回答を見る
正解: D
質問 #89
トランザクション量の多い環境でデータベースを最適化する主な理由はどれか。
A. 可用性の向上
B. 完全性の維持
C. データ漏洩の防止
D. パフォーマンスの向上
回答を見る
正解: A
質問 #90
次のソフトウェア開発手法のうち、計画を最小限に抑え、ラピッドプロトタイピングを優先するものはどれか?
A. アジャイル開発
B. ソフトウェア・プロトタイピング
C. 迅速なアプリケーション開発
D. コンポーネントベース開発
回答を見る
正解: C
質問 #91
設計段階にあるプロジェクトが組織の目的を達成できるかどうかを判断する際、ビジネスケースと比較するBESTは何でしょうか?
A. プロジェクト計画
B. 要求分析
C. 実施計画
D. プロジェクト予算規定
回答を見る
正解: C
質問 #92
ある大企業が、従業員が自分のスマートフォンを組織環境に持ち込むことを認める方針を検討している。情報セキュリティ管理者にとって最も重要な懸念は、以下の点である:
A. デバイス管理ソリューションの欠如。
B. エンドユーザーの生産性の低下
C. ネットワーク容量への影響
D. エンドユーザーをサポートするためのコストが高い。
回答を見る
正解: A
質問 #93
組織の情報セキュリティ機能の主な責任はどれか。
A. 機密ファイルへの不正アクセス試行の検証
B. 組織のセキュリティ手順の管理
C. データファイルへのアクセスの承認
D. ネットワークセキュリティプログラムのインストール
回答を見る
正解: D
質問 #94
アプリケーション開発プロジェクトを能力成熟度モデル(CMM)に照らして評価することによって、IS監査人はそれを検証することができるはずである:
A. 信頼できる製品が保証されている。
B. プログラマーの効率が向上する。
C. セキュリティ要件は設計されている。
D. 予測可能なソフトウェア・プロセスに従っている。
回答を見る
正解: B
質問 #95
情報セキュリティポリシーを確立するための最初のステップはどれか。
A. セキュリティ管理評価
B. 事業リスク評価
C. 現行のグローバル・スタンダードの見直し
D. 情報セキュリティ監査
回答を見る
正解: D
質問 #96
電子送金(EFT)インターフェイスで、資金が利用可能であることを確認するためのアプリケーションレベルの編集チェックは、いつ完了すべきですか?
A. 取引完了前
B. EFTが開始された直後
C. ラン・トゥ・ランの総合テスト中
D. EFT開始前
回答を見る
正解: B
質問 #97
ネットワーク性能に関する次の用語のうち、ネットワーク上で情報を転送できる最大速度を指すものはどれか。
A. 帯域幅
B. スループット
C. 遅延
D. ジッター
回答を見る
正解: B
質問 #98
企業データフローアーキテクチャの次のレイヤーのうち、さまざまなレイヤー間の情報転送に関係するのはどれか。
A. データ準備層
B. デスクトップ・アクセス・レイヤ
C. アプリケーション・メッセージング・レイヤー
D. データアクセス層
回答を見る
正解: D
質問 #99
ある組織が、情報セキュリティ管理のための主要業績評価指標(KPI)を選 択している。情報セキュリティリスクが管理されているかどうかについて、利害関係者に最も有用な情報を提供するKPIはどれか。
A. インシデントの最初の報告から適切なエスカレーションまでの時間
B. セキュリティ脅威の特定から解決策の実施までの時間
C. 実施されたセキュリティ管理の数
D. 過去四半期におけるセキュリティ・インシデントの件数
回答を見る
正解: C
質問 #100
情報セキュリティに対する上級管理職のコミットメントが組織内で欠如していることを最も強く示すものはどれか。
A. 情報セキュリティポリシーの一貫性のない実施
B. 情報セキュリティ投資の削減
C. 情報セキュリティリスクの受容度
D. 情報セキュリティ管理者は、最高リスク責任者に報告する。
回答を見る
正解: D
質問 #101
ある組織が契約に基づいて新しいソフトウェアを導入する場合、スコープクリープによるコスト上昇を抑制する鍵はどれか。
A. 問題管理
B. 品質管理
C. 変更管理
D. リスク管理
回答を見る
正解: C
質問 #102
D.ハイパーバイザーの目的は何ですか?
A. 仮想マシンのパフォーマンス監視
B. 仮想マシンのクローン
C. 複数のマシンに同時に設定を展開する
D. 仮想マシン環境の実行
回答を見る
正解: D
質問 #103
情報セキュリティ管理のための資産評価の主な目的は、以下のとおりである:
A. 最も重要性の低い資産を除外する。
B. 資産分類の基礎を提供する。
C. 各資産の価値を決定する。
D. リスク管理活動の優先順位を決める。
回答を見る
正解: B
質問 #104
新規設備の取得をレビューするIS監査人は、次のうちどれを重大な弱点と考えるか?
A. 評価に携わったスタッフは、評価対象のベンダーを認識していた。
B. 独立コンサルタントが提案依頼書(RFP)を作成した。
C. 評価基準は、回答の初期評価後に最終決定された。
D. 回答締切日は業者候補からの要請により延長された。
回答を見る
正解: A
質問 #105
変更後のシステムと代替システムの2つのシステムにテストデータを投入し、結果を比較するプロセスは次のうちどれか。
A. パラレルテスト
B. ブラックボックステスト
C. 回帰テスト
D. パイロットテスト
回答を見る
正解: B
質問 #106
事業継続における次の用語のうち、システムおよび/またはデータの完全性を検証するために必要な最大許容時間を決定するものはどれか?
A. RPO
B. RTO
C. WRT
D. MTD
回答を見る
正解: A
質問 #107
情報セキュリティプログラムの有効性を示すために、上級管理職への定期的な報告書に含めるべき内容として、最も有用なものはどれか。
A. 重要成功要因(CSF)
B. 主要リスク指標(KRI)
C. 能力成熟度モデル
D. 主要業績評価指標(KPI)
回答を見る
正解: B
質問 #108
eビジネスシステムで高可用性と耐障害性を実現する最も良い方法はどれか。
A. ネットワークの多様性
B. ストレージエリアネットワーク
C. ロバストシステムアーキテクチャ
D. 安全なオフサイト・バックアップ・ストレージ
回答を見る
正解: A
質問 #109
ある監査委員会が年次ITリスクアセスメントを検討している。選択された監査の正当な理由として最も適切なものはどれか。
A. ITプロセスの失敗の可能性
B. 主要なIT全般統制
C. 影響を受けるアプリケーション
D. D
E.
A. コンピューターオペレーターは、システムレベルのフローチャートにアクセスできる。
F. B
G. C
D. システム開発者は本番データにアクセスできる。
回答を見る
正解: C
質問 #110
ある組織のマーケティング部門が、外部のマーケティング会社とメディアファイルを交換するために、クラウドベースのコラボレーションサイトへのアクセスを要求してきた。その結果、情報セキュリティマネジャーはリスクアセスメントを実施するよう要請された。次のうち、最も重要な検討事項はどれですか?
A. 交換する情報
B. 情報の伝達方法
C. 外部マーケティング会社の評判
D. サードパーティクラウドプロバイダーのセキュリティ
回答を見る
正解: D
質問 #111
ある組織が、第三者請負業者の従業員による機密データ漏洩を検出しました。この問題に対処するための最善の方法は何でしょうか?
A. 外部委託契約にセキュリティ要件を盛り込む。
B. 組織のインシデント対応計画を起動する。
C. 第三者請負業者へのアクセスを制限する。
D. 第三者請負業者との契約を解除する。
回答を見る
正解: D
質問 #112
業務システムの更新後に脆弱性評価を実施する主な目的は何ですか?
A. 脅威の状況を更新する
B. 統制の有効性のレビュー
C. 操業損失の決定
D. 変更管理プロセスの改善
回答を見る
正解: D
質問 #113
ある組織の運用チームがISセキュリティ攻撃を報告した。セキュリティインシデント対応チームの次のステップはどれか。
A. 教訓を文書化する。
B. 是正措置のためのリソースの優先順位を決める。
C. 損害評価を行う。
D. 結果を経営陣に報告する。
回答を見る
正解: A
質問 #114
ビジネスインパクト分析(BIA)の後に行うべき活動は、次のうちどれですか?
A. IT環境への脅威を特定する
B. 重要なアプリケーションの特定
C. 復旧オプションの分析
D. コンピューティングとユーザー環境の見直し
回答を見る
正解: C
質問 #115
侵入者がアプリケーションサーバーにアクセスし、システムログに変更を加えた。その変更を特定できるのは次のうちどれでしょうか。
A. 他のサーバーのシステムログをミラーリングする
B. ライトワンスディスクにシステムログを同時に複製する。
C. システムログを含むディレクトリの書き込み保護
D. システムログのバックアップをオフサイトに保存する
回答を見る
正解: A
質問 #116
TCP/IPモデルのネットワーク・インターフェイス層のプロトコル・データ・ユニット(PDU)はどれか。
A. データ
B. セグメント
C. パケット
D. フレーム
回答を見る
正解: A
質問 #117
情報システムへの不正アクセスを発見するために使用できる検出制御はどれか。
A. システムアクセスに長くて複雑なパスワードを要求する。
B. セキュリティ情報・イベント管理(SIEM)システムの導入
C. システムアクセスログの定期的なレビューを内部監査に義務付ける。
D. 多要素認証によるデータセンターへのアクセスの保護
回答を見る
正解: B
質問 #118
ある会社が、顧客への新しいダイレクトマーケティングアプローチを支援するために、ビジネスプロセスリエンジニアリング(BPR)プロジェクトを実施する。新しいプロセスに関するIS監査人の主な懸念事項は次のうちどれでしょうか?
A. 資産及び情報資源を保護するための主要な統制が整備されているかどうか。
B. システムが企業の顧客要件に対応している場合
C. システムがパフォーマンス目標(時間とリソース)を達成できるかどうか
D. プロセスに責任を持つ所有者が特定されているかどうか。
回答を見る
正解: C
質問 #119
ホスト名からIPアドレス、IPアドレスからホスト名に変換する分散データベースは、次のうちどのサービスですか?
A. DNS
B. FTP
C. SSH
D. SMTP
回答を見る
正解: B
質問 #120
ある組織が、レガシーシステムから統合基幹業務システム(ERP)に移行している。データ移行活動をレビューする間、IS監査人の最も重要な関心事は、以下のことがあるかどうかを判断することである:
A. 2つのシステム間で移行されるデータのセマンティック特性の相関関係。
B. 2つのシステム間で移行されたデータの演算特性の相関関係。
C. 2つのシステム間のプロセスの機能的特徴の相関関係。
D. 2つのシステム間のプロセスの相対的効率性。
回答を見る
正解: D
質問 #121
アップグレードされたERPシステムを導入する際、本稼働を決定するために最も重要な検討事項はどれですか?
A. テストケース
B. ロールバック戦略
C. ビジネスケース
D. 実施後のレビュー目標
回答を見る
正解: A
質問 #122
情報セキュリティプログラムの成熟度レベルを決定するためのアプローチとして、最も適切なものはどれか。
A. 内部監査結果を見直す。
B. 第三者によるレビューを受ける。
C. 自己評価を行う。
D. 主要業績評価指標(KPI)を評価する。
回答を見る
正解: B
質問 #123
コンプライアンス違反の問題を効果的に解決するために、最も効果的なものはどれか。
A. リスクに対する保険
B. 統制の自己評価の実施
C. リスク登録簿で問題を把握する
D. 承認された緩和計画の実行
回答を見る
正解: D
質問 #124
イントラネットを通じて新しいワームが侵入した場合、組織が最も危険にさらされるのは次のような場合である:
A. 実行可能コードがファイアウォールの内側から実行される。
B. システムソフトウェアが完全性チェックを受けない。
C. ホストは固定IPアドレスを持つ
D. デスクトップのウイルス定義ファイルが最新でない。
回答を見る
正解: D

送信後に回答を表示する

質問の回答を得るには、電子メールと WhatsApp を送信してください。

注: 正しい試験結果を得ることができるように、電子メール ID と WhatsApp が有効であることを確認してください。

Eメール:
WhatsApp/電話番号: