すべての情報を見逃したくないですか?

認定試験に合格するためのヒント

最新の試験ニュースと割引情報

当社の専門家による厳選最新情報

はい、ニュースを送ってください

CISA試験問題集2024更新:試験対策 公認情報システム監査人|SPOTO

SPOTOの最新試験問題集と充実したリソースで2024年度のCISA試験に準備しましょう。弊社の綿密に作成された教材は最新の試験出題範囲をカバーしていますので、あなたはどんな不測の事態にも対応することができます。膨大な試験問題データベース、サンプル問題、オンライン試験問題、本番形式の模擬試験にアクセスして、あなたの知識を評価し、改善すべき点を特定します。詳細な解説とパフォーマンス分析を活用して、重要な概念を強化します。定期的に更新される無料試験問題集や試験問題と解答を含む試験資料で、常に一歩先を行くことができます。リアルな試験シミュレータで実際の試験環境をシミュレートします。弊社の2024年度版CISA試験対策問題集を利用してぜひ資格を取りましょう。
他のオンライン試験を受ける
質問 #1
文書管理標準の次の要件のうち、デジタル署名された法的文書に否認防止を提供するものはどれか。
A. すべてのデジタル署名は、ハッシュアルゴリズムを含まなければならない。
B. デジタル署名された文書はすべて暗号化されたデータベースに保存されなければならない。
C. デジタル署名が必要なすべての文書には、お客様と証人の両方が署名する必要があります。
D. 電子署名された文書には、安全なファイル転送プロトコル(SFTP)のみを使用することができる。
回答を見る
正解: C
質問 #2
クライアントサーバー環境でアクセス制御のレビューを行っているIS監査人が、すべての印刷オプションにすべてのユーザーがアクセスできることを発見した。この状況において、IS監査人は次のように結論づける可能性が最も高い:
A. 許可されていないユーザーも情報を入手できるため、露出が大きくなる。
B. 誰でもいつでもどんなレポートでも印刷できるため、業務効率が向上する。
C. 情報が簡単に入手できるため、作業手順がより効果的である。
D. ユーザー間の情報の流れがスムーズなため、ユーザーの利便性と柔軟性が促進される。
回答を見る
正解: D
質問 #3
入力管理をレビューしているとき、IS監査人は、企業ポリシーに従って、データ検証編集の監督者によるオーバーライドを許可する手順があることを観察した。IS 監査員は次のことを行うべきである:
A. リスクを軽減する他の代償的なコントロールがあるかもしれないので、心配する必要はない。
B. オーバーライドが自動的にログに記録され、レビューの対象となるようにする。
C. そのようなオーバーライドがすべて承認のために上級管理職に回されているかどうかを検証する。
D. オーバーライドを許可しないことを推奨する。
回答を見る
正解: A
質問 #4
IS処理のアウトソーシングを検討している企業のIS監査人が、各ベンダーの事業継続計画のコピーを要求し、レビューすることは適切か。
A. はい。IS監査人は、サービス・ビューローの計画の妥当性を評価し、サービス・ビューローが補完的な計画を実施できるよう支援します。
B. はい。なぜなら、IS監査人は計画に基づき、サービスビューローの財務的安定性と契約を履行する能力を評価するからです。
C. 提供されるバックアップは契約書に十分明記されていなければならないから。
D. サービスビューローの事業継続計画は所有権に関わる情報である。
回答を見る
正解: D
質問 #5
ITがビジネスに価値を提供しているかどうかを判断する最も良い方法はどれか?
A. ITサービスの様々なエンドユーザーにアンケートを配布する。
B. 主要なITマネージャーやサービスプロバイダーにインタビューする。
C. ITサービスレベル合意(SLA)の指標を見直す。
D. ダウンタイムの頻度と期間を分析する。
回答を見る
正解: C
質問 #6
IS監査人は、組織の物理的セキュリティ対策をレビューしている。入退室カードシステムに関して、IS監査人が最も懸念すべきことは、以下の点である:
A. 非個人化されたアクセスカードが清掃スタッフに渡され、清掃スタッフはサインインシートを使用するが、身分証明書を提示しない。
B. 紛失したカードを容易に返却できるよう、アクセスカードに組織名と住所が記 載されていない。
C. カードの発行と権利管理が別々の部署で行われるため、新しいカードの発行に不必要なリードタイムが発生する。説明/参照説明
D. カードのプログラミングに使用されるコンピューターシステムは、システム障害が発生した場合、3週間後にしか交換できない。
回答を見る
正解: D
質問 #7
顧客関係管理(CRM)システム移行プロジェクトの監査を行うとき、IS監査人が最も懸念すべきことはどれか。
A. 技術的な移行は長期休暇前の金曜日に計画されており、すべてのタスクを完了するには時間が短すぎます。
B. システムを試用している従業員は、新システムのデータ表現が旧システムとまったく異なることを懸念している。
C. レガシーシステムを直ちに廃止し、単一の実装を計画する。
D. 目標日の5週間前になっても、新システムのソフトウェアの印刷機能にはまだ多くの欠陥がある。
回答を見る
正解: B
質問 #8
データファイルの不正使用を防ぐ最も効果的な方法は?
A. 自動ファイル入力
B. テープライブラリアン
C. アクセス制御ソフトウェア
D. ロックされた図書館
回答を見る
正解: A
質問 #9
新規ITプロジェクトの優先順位付けに最も適しているのはどれですか?
A. 内部統制自己評価(CSA)
B. 情報システム監査
C. 投資ポートフォリオ分析
D. 事業リスク評価
回答を見る
正解: A
質問 #10
イカはその一例である:E.
A. IDS
B. キャッシング・プロキシ
C. セキュリティ・プロキシ
D. 接続プロキシダイヤラー
E. F
回答を見る
正解: F
質問 #11
新システムを短期間で導入する場合、最も重要なのは次のことである:
A. ユーザーマニュアルの作成を終える。
B. ユーザー受け入れテストを実施する。
C. 機能性を土壇場で強化する。
D. コードが文書化され、レビューされていることを確認する。
回答を見る
正解: C
質問 #12
次のうち、非正規ソフトウェアの使用によるソフトウェアの違法コピーで訴追されるリスクを最小化することを目的とした、企業のリスク管理の主要な要素を指すものはどれですか?
A. ソフトウェア監査
B. システム監査
C. アプリケーションシステム監査
D. 試験監査
E. メインフレーム監査
F. どれにも当てはまらない
回答を見る
正解: A
質問 #13
次のうち、密かにデータを転送するために一般的な消費者向け機器を利用する攻撃はどれか?
A. 直接アクセス攻撃
B. 間接アクセス攻撃
C. ポート攻撃
D. ウィンドウ攻撃
E. 社会的攻撃
F. どれにも当てはまらない
回答を見る
正解: A
質問 #14
データフロー図は、IS監査人が次のような目的で使用する:
A. データを階層的に並べる。
B. ハイレベルのデータ定義を強調する。
C. データパスとストレージをグラフィカルにまとめる。
D. データ生成の詳細を段階的に描写する。
回答を見る
正解: D
質問 #15
EDIアプリケーションの統制を評価する場合、IS監査人は主に以下のリスクに関心を持つべきである:
A. トランザクションの所要時間が長すぎる。
B. アプリケーションインターフェースの障害
C. 不適切な取引の承認
D. 有効なバッチ合計がない。
回答を見る
正解: D
質問 #16
各個人は、管理されているドアごとにバッジの読み取りを受けなければならない」という情報セキュリティポリシーは、次のどの攻撃手法に対処しているか?
A. ピギーバック
B. ショルダーサーフィン
C. ダンプスター・ダイビング
D. なりすまし
回答を見る
正解: A
質問 #17
小グループ内での安全な通信に最も適しているのはどれか?
A. 主要物流センター
B. 認証機関
C. 信頼の網
D. ケルベロス認証システム
回答を見る
正解: A
質問 #18
財務アプリケーションの監査中に、多くの終了したユーザのアカウントが無効化されていないことが判明した。IS監査人の次のステップはどれですか?
A. 終了したユーザーのアカウント活動のレビューを実行する。
B. IT全般統制が有効でないと結論づける。
C. アプリケーションオーナーにリスクを伝える。
D. 終了したユーザのアクセス権の実体テストを実施する。
回答を見る
正解: D
質問 #19
ワイヤレスネットワークを使用する主な利点はどれか?
A. ネットワーク速度の向上
B. より強固な認証
C. 盗聴からの保護
D. 設置コストの低減
回答を見る
正解: A
質問 #20
侵入を最もよく検知するコントロールはどれか。
A. ユーザーIDおよびユーザー権限は、認可された手続きによって付与される。
B. 自動ログオフは、ワークステーションが特定の時間アクティブでない場合に使用される。
C. 指定された回数失敗すると、システムの自動ログオフが行われる。
D. 失敗したログオン試行は、セキュリティ管理者によって監視されます。
回答を見る
正解: A
質問 #21
IS監査は、リスク分析プロセスを通じて、集中的に行うべきものを選択すべきである:
A. 最もリスクが高く、改善の機会がある分野。
B. 最もリスクが低く、改善の機会がある分野。
C. 最も経済的価値の高い分野。
D. 組織のキーパーソンが率いるD
E. ランダムなイベント。
F. 不規則なイベント。
回答を見る
正解: A
質問 #22
ウェブサイト証明書の第一の目的は、以下のとおりである:
A. 閲覧されるウェブサイトの認証。
B. そのサイトを閲覧するユーザーの認証。
C. ハッカーによるウェブサイトの閲覧を防ぐ。
D. 電子証明書と同じ目的。
回答を見る
正解: A
質問 #23
内部IS監査機能が望ましい目的を達成できるかどうかは、主に以下の点に左右される:
A. 監査担当者のトレーニング
B. 監査要員の経歴
C. 監査要員の独立性
D. 監査担当者のパフォーマンス
E. 選択肢のどれでもない。
回答を見る
正解: ABCD
質問 #24
ソフトウェア開発プロジェクトで発生する不具合の数を減らすために、最も費用対効果の高い推奨事項はどれか。
A. システムテストに割り当てられる時間を増やす。
B. 正式なソフトウェア検査を実施する
C. 開発スタッフの増員
D. すべてのプロジェクト成果物のサインオフを要求する。
回答を見る
正解: B
質問 #25
既存のシステムは、設計やプログラムのコンポーネントを抽出し再利用することによって、広範囲に拡張されている。これはその一例である:
A. リバース・エンジニアリング。
B. プロトタイピング。
C. ソフトウェアの再利用
D. リエンジニアリング
回答を見る
正解: A
質問 #26
ある金融サービス組織が事業継続対策を策定し、文書化している。IS監査人が問題を提起する可能性が最も高いのは、次のどのケースですか?
A. 組織は、業界標準の代わりに優良事例ガイドラインを使用し、方法論の妥当性を保証するために外部のアドバイザーに依存している。
B. 事業継続能力は、合理的な確率で起こりうる事象を記述した、慎重に選択された一連のシナリオを中心に計画される。
C. 復旧時間目標(RTO)は、復旧フェーズにおける人員やシステムの依存関係など、IT災害復旧の制約を考慮していない。
D. 組織は、通常のスタッフの半分のスペースしかない、緊急用の仕事場と共有の代替サイトを借りる予定である。
回答を見る
正解: A
質問 #27
ある会社の新設された内部通報制度の評価において、監査人はいくつかの発見を指摘した。次のうち、監査人が最も懸念すべきものはどれでしょうか?
A. 新入社員が内部告発ポリシーを知らされていない。
B. 内部告発者のプライバシーは保護されない。
C. 内部通報システムは、通報日時を追跡しない。
D. 内部通報制度は営業時間内のみ利用可能です。
回答を見る
正解: C
質問 #28
組織の経営陣がコーポレート・ガバナンスを導入する第一の目的は、以下の通りである:
A. 戦略的な方向性を示す。
B. 事業運営を管理する。
C. ITをビジネスと連携させる。
D. ベストプラクティスを実施する。
回答を見る
正解: B
質問 #29
次のうち、最も信頼できる単一要素による個人識別はどれか?
A. スマートカード
B. パスワード
C. 写真の識別
D. 虹彩スキャン
回答を見る
正解: A
質問 #30
Cisco IOSベースのルーターは、次のメカニズムのどれを介して基本的なトラフィックフィルタリングを実行しますか?
A. データグラム・スキャン
B. アクセスリスト
C. ステートフル・インスペクション
D. 状態チェック
E. リンク進行中
F. どれにも当てはまらない
回答を見る
正解: B
質問 #31
オンライン・バンキング・アプリケーションにおいて、次のうちどれが個人情報の盗難から保護されるでしょうか?
A. 個人パスワードの暗号化
B. ユーザーを特定の端末に制限する
C. 二要素認証
D. アクセスログの定期的なレビュー
回答を見る
正解: B
質問 #32
IS監査中にどの程度のデータを収集するかは、それに基づいて決定されるべきである:
A. 重要かつ必要な情報が入手可能であること。
B. 監査人がその状況に精通していること。
C. 受審者が関連証拠を見つける能力。
D. 実施される監査の目的と範囲。
回答を見る
正解: C
質問 #33
感染した多数のコンピュータの活動を調整するために、攻撃者は次のような調整システムを使用している:
A. ワームネッツ
B. トロジャネット
C. スパイネット
D. ボットネット
E. ルートネット
F. バックドア
回答を見る
正解: A
質問 #34
効果的なITガバナンスには、以下のことを確実にするための組織構造とプロセスが必要である:
A. 組織の戦略と目標がIT戦略を拡張する。
B. ビジネス戦略はIT戦略から導き出される。
C. ITガバナンスは、全体的なガバナンスとは別個のものである。
D. IT戦略は組織の戦略と目標を拡張するものである。
回答を見る
正解: D
質問 #35
IS監査人は、トランザクションをパージする新しいプロセスがデータベースの完全性に有害な影響を与えないことを保証することを求めている。これは、以下の分析によって達成される:
A. データベースの構造。
B. トリガーの設計
C. テスト環境におけるプロセスの結果。
D. データベースのエンティティ関係図
回答を見る
正解: C
質問 #36
複数の部署で使用されているコンピュータ・プログラムにデータ品質の問題がある。誰が是正措置に責任を持つべきかについて合意がない。IS監査人の行動として最も適切なものはどれか。
A. IT部門にデータクレンジングの責任を割り当てることを推奨する。
B. データを自動的に消去するようにプログラムを修正し、問題を解決する。
C. プログラムを使用する主要部門に責任を割り当てる。
D. 意見の相違に注意し、データガバナンスの確立を推奨する。
回答を見る
正解: B
質問 #37
IS管理部門は最近、組織内でのモバイルデバイスの使用の増加に対応するため、既存の有線LAN(ローカルエリアネットワーク)を無線インフラストラクチャに置き換えた。これにより、次のどの攻撃のリスクが高まるか?
A. ポートスキャン
B. バックドア
C. 中間者
D. 戦争運転
回答を見る
正解: D
質問 #38
デジタル著作権管理(DRM)アプリケーションをレビューするIS監査人は、次のどの技術の広範な使用を発見することを期待すべきか?
A. デジタル署名
B. ハッシュ
C. 構文解析
D. ステガノグラフィ
回答を見る
正解: D
質問 #39
データベースのレビューを行う際、IS監査人はデータベース内のいくつかのテーブルが正規化されていないことに気づく。IS監査人は次に次のことを行うべきである:
A. データベースの正規化を勧める。
B. 概念データモデルを見直す。
C. ストアドプロシージャを見直す。
回答を見る
正解: A
質問 #40
インターネットを介した企業対消費者の取引に電子証明書を使用した公開鍵基盤を使用している組織の監査を行う際、IS監査人が弱点と考えるのはどれか。
A. 顧客は地理的に広く分散しているが、認証局はそうではない。
B. 顧客はどのコンピューターやモバイル機器からでも取引ができる。
C. 認証局は、証明書を管理する複数のデータ処理サブセンタを有する。
D. 組織が認証局の所有者である。
回答を見る
正解: D
質問 #41
災害復旧計画を作成する際、最初に行うべき作業はどれか。
A. 回復戦略を立てる。
B. ビジネスインパクト分析を行う。
C. ソフトウェアシステム、ハードウェア、ネットワークコンポーネントのマッピング
D. 人員、役割、階層を明確にした復旧チームを任命する。
回答を見る
正解: C
質問 #42
監査中に、IS監査人は、多くのケースで過剰な権限がシステムから削除されていないことを発見した。次のうち、監査人の推奨事項として最も適切なものはどれか。
A. ITセキュリティは、過剰なシステム権限を定期的に取り消すべきである。
B. システム管理者は、割り当てられた権利の一貫性を確保する必要があります。
C. ライン管理者は、アクセス権を定期的に見直し、変更を要求すべきである。
D. 人事部は、解雇された従業員のアクセス権を削除すべきである。
回答を見る
正解: C
質問 #43
あるIS監査人が、80%以上完了しているソフトウェア開発プロジェクトを監査することになったが、すでに時間が10%、コストが25%超過している。IS監査人が取るべき行動はどれか。
A. その組織には効果的なプロジェクトマネジメントがないことを報告する。
B. プロジェクトマネージャーの交代を勧告する。
C. ITガバナンス体制を見直す。
D. プロジェクトの実施とビジネスケースを見直す。
回答を見る
正解: D
質問 #44
生産のピーク時間帯に次のうちどれを行うと、予期せぬダウンタイムが発生する可能性がありますか?
A. データ移行またはテープバックアップの実行
B. 電気系統の予防保守の実施
C. 開発環境からステージング環境へのアプリケーションのプロモート
D. データセンターのコアルーターの故障した電源装置の交換
回答を見る
正解: B
質問 #45
IS監査人がソフトウェアベースの構成をレビューしている。最も大きな脆弱性はどれか。ファイアウォールソフトウェア
A. ルールベースの最後のルールとして、暗黙の拒否ルールが設定されている。
B. デフォルト設定のオペレーティングシステムにインストールされている。
C. システムまたはネットワークへのアクセスを許可または拒否するルールが設定されている。
D. 仮想プライベートネットワーク(VPN)エンドポイントとして構成されている。
回答を見る
正解: A
質問 #46
エンドユーザーコンピューティング(EUC)アプリケーションの開発において、一般的なリスクはどれか。
A. アプリケーションは、テストおよびIT全般統制の対象とならない場合がある。
B. 開発費とメンテナンス費用の増加
C. アプリケーション開発時間の増加
D. 情報要求に対する反応が鈍くなるため、意思決定が損なわれる可能性がある。
回答を見る
正解: D
質問 #47
システムへの攻撃を成功させる最初のステップはこうだ:
A. 情報収集。
B. アクセスを得る。
C. サービスの拒否
D. 検出から逃れる。
回答を見る
正解: A
質問 #48
フォローアップ監査中、IS 監査人は、被監査会社が、スキャナの使用頻度を増やすという当初の 監査勧告を採用することなく、ウィルススキャナの定義を更新したことを発見した。監査人にとって最も適切な処置は、次のとおりである:
A. 勧告を再度記載したフォローアップ監査報告書を作成する。
B. 上級管理職に問題をエスカレーションする。
C. 入手可能な新情報に基づいて監査意見を修正する。
D. 残留リスクは許容できるレベルを超えていると結論づける。
回答を見る
正解: D
質問 #49
IS 監査人は、アプリケーションの監査証跡を確認する必要があります:
A. 十分なセキュリティ
B. 経営効率には影響しない。
C. はオンラインでアクセスできる。
D. すべてのデータベースレコードをログに記録します。
回答を見る
正解: A
質問 #50
フロッピーディスクからファイルをコピーしているときに、あるユーザーがネットワークにウイルスを持ち込んだ。ウイルスの存在を最も効果的に検出できるのはどれか。
A. 使用前のすべてのフロッピーディスクのスキャン
B. ネットワークファイルサーバー上のウイルスモニター
C. すべてのネットワーク・ドライブのスキャンを毎日定期的に実行する。
D. ユーザーのパソコンのウイルスモニター
回答を見る
正解: C
質問 #51
二要素ユーザー認証を満たす最も良い方法はどれか。
A. 利用者の暗証番号を必要とするICカード
B. ユーザーIDとパスワード
C. 虹彩スキャン+指紋スキャン
D. ユーザーの暗証番号を必要とする磁気カード 説明/参照説明
回答を見る
正解: D
質問 #52
組織のコンピュータ・セキュリティ・インシデント対応チーム(CSIRT)は、最近の脅威に関する詳細な説明を発信する。IS監査人の最も大きな懸念は、ユーザが以下のような事態に陥る可能性があることである:
A. この情報を使って攻撃を仕掛ける。
B. セキュリティ警告を転送する。
C. 個別の解決策を実施する。
D. 脅威を理解できなかった。
回答を見る
正解: D
質問 #53
電子的な証拠収集に伴うリスクは、Eメールによって軽減される可能性が高い:
A. 破棄方針。
B. セキュリティポリシー
C. アーカイブポリシー
D. 監査方針。
回答を見る
正解: C
質問 #54
組織の情報セキュリティフレームワークをレビューするIS監査人が最も懸念すべきことはどれか。
A. 情報セキュリティポリシーは過去2年間更新されていない。
B. 重要な情報資産のリストが情報セキュリティポリシーに含まれていなかった。
C. 上級管理職が情報セキュリティ方針の策定に関与していない。
D. 情報セキュリティポリシーが規制要件と整合していない。
回答を見る
正解: B
質問 #55
トロイの木馬のペイロードは、ほとんどの場合、即座に有害な効果をもたらす。
A. その通り
B. 偽
回答を見る
正解: A
質問 #56
最もシンプルで安価なファイアウォールはどれか?
A. ステートフル・ファイアウォール
B. ハードウェア・ファイアウォール
C. PIXファイアウォール
D. パケットフィルター
E. 選択肢のどれでもない。
回答を見る
正解: E
質問 #57
実施後のレビューの一環として、成果の実現を評価する最善の方法は、以下のとおりである:
A. ユーザーコミュニティからのフィードバックを得る。
B. 包括的なリスク分析を行う。
C. システムの実際のパフォーマンスを評価する。
D. ビジネスケースのベネフィットを、アーカイブされたベネフィットと比較する。
回答を見る
正解: D
質問 #58
統合されたテスト施設は、有用な監査ツールと考えられている:
A. は、アプリケーション制御を監査するためのコスト効率の高いアプローチです。
B. 財務監査人とIS監査人の監査テストを統合することができる。
C. 処理出力を独自に計算したデータと比較する。
D. IS監査人に、広範な情報を分析するツールを提供する。
回答を見る
正解: D
質問 #59
ある組織が、広域ネットワーク(WAN)を第三者のサービスプロバイダにアウトソーシングしている。このような状況下で、事業継続(BCP)及び災害復旧計画(DRP)の監査において、IS監査人が実施すべき主な作業はどれか。
A. サービスプロバイダのBCPプロセスが、組織のBCP及び契約上の義務と整合しているかどうかをレビューする。
B. サービスレベル契約(SLA)に、災害時にサービスレベルを満たせなかった場合のペナルティ条項が含まれているかどうかを確認する。
C. サービスプロバイダを選択する際に組織が採用した方法を検討する。
D. 第三者サービス提供者のスタッフの認定を確認する。
回答を見る
正解: C
質問 #60
ネットワークを介したデータ伝送中に、偶発的な破損を検出できる管理は、次のうちどれがBESTか。
A. シーケンスチェック
B. パリティ検査
C. 対称暗号化
D. チェックデジット検証
回答を見る
正解: B
質問 #61
あるIS監査人がフォローアップ内部IS監査を実施しており、前年度のいくつかの推奨事項が実施されていないと判断した。監査人が最初にとるべき行動はどれか。
A. 現在のIT環境に照らして、推奨事項を評価する。
B. 監査を継続し、以前の監査勧告を無視する。
C. 経営陣に対し、前年度の勧告を実施するよう要請する。
D. 未実施の勧告を新しい監査の所見として追加する。
回答を見る
正解: D
質問 #62
過去の監査指摘事項のフォローアップを実施する際、IS 監査人は、アプリケーションのセキュリ ティ変更を行うようにという推奨事項が実施されていないと経営陣から告げられた。IS 監査人は、まず次のことを確認する:
A. 変更を実施するための追加時間が必要である。
B. 関連するリスクはまだ関連している。
C. 勧告は再発行されるべきである。
D. 問題をエスカレーションすべきである。
回答を見る
正解: A
質問 #63
D.IS監査人がデータベース管理システム(DBMS)の監査ログを分析したところ、いくつかのトランザクションがエラーの結果として部分的に実行され、ロールバックされていないことを発見した。次のトランザクション処理機能のどれに違反していますか?
A. 一貫性
B. 隔離
C. 耐久性の原子性
回答を見る
正解: B
質問 #64
ERP導入後のレビューで、運用コストが予想を大幅に上回っていることが指摘された。この問題を発見するために、組織は次のうちどれを行うべきだったか?
A. 大きな変更が発生した場合は、プロジェクト憲章を更新
B. 定期的な利用者満足度調査の実施
C. システム使用状況の分析
D. 財務上の主要業績指標を監視
回答を見る
正解: C
質問 #65
さまざまなログファイルやイベントファイルを集約、関連付け、保存し、IS監査人のために週次や月次のレポートを作成するために、組織が導入するプログラムとして最も適切なものはどれか。
A. セキュリティ情報イベント管理(SIEM)製品
B. オープンソースの相関エンジン
C. ログ管理ツール
D. 抽出、変換、ロード(ETL)システム
回答を見る
正解: C
質問 #66
インターネットからの電子メール・トラフィックは、ファイアウォール-1を経由してメール・ゲートウェイに送られる。メールはメールゲートウェイからファイアウォール-2を経由して、内部ネットワーク内のメール受信者に送られる。その他のトラフィックは許可されない。たとえば、ファイアウォールはインターネットから内部ネットワークへの直接のトラフィックを許可しない。侵入検知システム(IDS)はメールゲートウェイから発信されていない内部ネットワークへのトラフィックを検知する。IDSによって最初に起動されるアクションは次のとおりである:
A. 適切なスタッフに警告する。
B. ログにエントリーを作成する。
C. ファイアウォール2を閉じる。
D. ファイアウォール-1を閉じます。
回答を見る
正解: A
質問 #67
ある組織が最近セキュリティパッチをインストールし、本番サーバーをクラッシュさせた。このような事態が再び発生する可能性を最小化するために、IS監査人は次のことを行うべきである:
A. パッチのリリースノートに従ってパッチを適用する。
B. 適切な変更管理プロセスが実施されていることを確認する。
C. パッチを本番環境に送る前に、徹底的にテストする。
D. リスクアセスメントを行った後、パッチを承認する。
回答を見る
正解: D
質問 #68
2つの組織が合併した後、両社が独自に開発した複数のレガシー・アプリケーションを、新しい共通プラットフォームに置き換える予定である。次のうち、最も大きなリスクはどれでしょうか?
A. プロジェクト管理と進捗報告は、外部コンサルタントが主導するプロジェクト管理事務所で行われる。
B. リプレース作業は、ポートフォリオ管理アプローチで資源配分を統合することなく、いくつかの独立したプロジェクトから構成される。
C. 各組織のリソースは、相手企業のレガシー・システムに慣れている間、非効率的に配分される。
D. 新しいプラットフォームによって、両組織のビジネスエリアは業務プロセスを変更せざるを得なくなり、その結果、大規模なトレーニングが必要になる。
回答を見る
正解: B
質問 #69
通常、監査人にとって最も信頼できる証拠はどれか。
A. 第三者から受領した口座残高確認書
B. アプリケーションが設計通りに動作しているというラインマネジメントからの保証
C. ワールド・ワイド・ウェブ(インターネット)から得たトレンドデータ
D. ラインマネジメントから提供された報告書からIS監査人が作成した比率分析者
回答を見る
正解: B
質問 #70
職務分掌を維持するために、本番環境における次のアクセス権のうち、開発者に付与すべきものはどれか。
A. データベース管理
B. 緊急支援
C. ITオペレーション
D. システム管理
回答を見る
正解: D
質問 #71
ある組織が、現在の顧客や潜在的な顧客とコミュニケーショ ンをとるためにソーシャルメディアを使い始めた。監査人が最も関心を持つべきものはどれか。
A. サードパーティプロバイダーによるコンテンツのホスティングと管理
B. ソーシャルメディアの適切な使用と監視に関するガイダンスの欠如
C. 組織のイメージに影響を与える顧客によるネガティブな書き込み
D. ソーシャルメディア利用による生産性の低下
回答を見る
正解: C
質問 #72
ITパフォーマンス測定プロセスの主な目的はどれか。
A. エラーの最小化
B. パフォーマンスデータの収集
C. パフォーマンス・ベースラインの設定
D. パフォーマンスの最適化
回答を見る
正解: C
質問 #73
主要なプロジェクトに携わっていた技術主任が、組織を去った。プロジェクト・マネジャーが、チーム全体がアクセスできるサーバーの1つで、不審なシステム・アクティビティがあることを報告しました。フォレンジック調査で発見された場合、何が最も懸念されるでしょうか?
A. システムの監査ログが有効になっていない
B. テクニカルリードのログオンIDがまだ存在する
C. スパイウェアがインストールされている
D. トロイの木馬がシステムにインストールされている。
回答を見る
正解: A
質問 #74
セキュア・ソケット・レイヤー(SSL)プロトコルは、メッセージの機密性に対処する:
A. 対称暗号化。
B. メッセージ認証コード。ハッシュ関数。
C. D
回答を見る
正解: A
質問 #75
フラッシュメモリー(USBリムーバブルディスクなど)を使用する場合、最も重要なセキュリティ上の懸念は、フラッシュメモリーが、USBリムーバブルディスクに接続されていることである:
A. 内容物の揮発性が高い。
B. データはバックアップできない。
C. データはコピーできる。
D. デバイスが他の周辺機器と互換性がない可能性がある。
回答を見る
正解: C
質問 #76
良いパスワードの推奨最小長さは?
A. 6文字
B. 8文字
C. 12文字
D. 18文字
E. 22文字
F. どれにも当てはまらない
回答を見る
正解: A
質問 #77
商業ゴミをあさって有益なビジネス情報を収集する手法は、こう呼ばれている:
A. 情報ダイビング
B. インテリジェンス・ダイビング
C. アイデンティティ・ダイビング
D. システムダイビング
E. プログラムダイビング
F. どれにも当てはまらない
回答を見る
正解: B
質問 #78
IS監査の勧告に従って、すべてのTelnetとFTP(File Transfer Protocol)接続がSSH(Secure Socket Shell)とSFTP(Secure File Transfer Protocol)に置き換えられた。この組織が採用したリスク処理手法はどれか。
A. 受諾
B. 緩和
C. 回避
D. 譲渡
回答を見る
正解: C
質問 #79
複数の外部システムとのインタフェースを持つサードパーティアプリケーションにセキュリティ脆弱性を発見した後、相当数のモジュールにパッチが適用された。IS 監査員が推奨すべきテストはどれか。
A. ストレス
B. ブラックボックス
C. インターフェースD
回答を見る
正解: B
質問 #80
フォローアップ監査中に、IS監査人がある勧告が実施されていないことを発見する。しかし、受審者は、推奨された処置よりもはるかに低い効率で、特定されたリスクに対処する手動の回避策を実施している。監査人がとるべき最善の行動はどれか。
A. リスクへの対処が完了したことを経営陣に通知し、それ以上の措置を講じない。
B. さらなる議論と解決のために、残りの問題をエスカレーションする。
C. リスクが対処されたことに留意し、経営陣に非効率性を通知する。
D. 当初の勧告を実施するよう経営陣に主張する。
回答を見る
正解: D
質問 #81
長期的に見て、セキュリティインシデント対応プロセスを改善する可能性が最も高いのはどれか。
A. インシデント対応手順のウォークスルーレビュー
B. インシデント対応チームによる事後レビュー
C. ユーザーに対する継続的なセキュリティ・トレーニング
D. インシデントへの対応の文書化
回答を見る
正解: C
質問 #82
内部アプリケーション・インターフェースのエラーをできるだけ早く特定するために、最も適切なテスト手法はどれか。
A. ボトムアップ
B. 社交性テスト
C. トップダウン
D. システムテスト
回答を見る
正解: C
質問 #83
データウェアハウスの設計で最も重要な要素はどれか。
A. メタデータの質
B. 取引のスピード
C. データのボラティリティ
D. システムの脆弱性
回答を見る
正解: A
質問 #84
あるIS監査人は、データセンターのテープ管理システムにおいて、テープヘッダーレコードをバイパスまたは無視するように設定されているパラメータがあるという弱点を観察した。この弱点を補う最も効果的な管理策はどれか。
A. ステージングと仕事のセットアップ
B. 監督者によるログの確認
C. テープの定期的なバックアップ
D. テープのオフサイト保管
回答を見る
正解: A
質問 #85
多くのデスクトップPCを持つ組織が、シンクライアントアーキテクチャへの移行を検討している。次のうち、主な利点はどれですか?
A. クライアントのために管理セキュリティを提供することができる。
B. システム管理がしやすくなる。
C. デスクトップPCのセキュリティが強化される。
D. デスクトップ・アプリケーション・ソフトウェアをアップグレードする必要はありません。
回答を見る
正解: C
質問 #86
EDIトランザクションのレビュー中に不正なトランザクションを発見したIS監査人は、EDIトランザクションの改善を勧告する可能性が高い:
A. EDI取引先契約。
B. 端末の物理的コントロール
C. メッセージの送受信における認証技術。
D. プログラムの変更管理手順
回答を見る
正解: C
質問 #87
ITサービスのアウトソーシングに関して、IS監査人が最も懸念すべき条件はどれか。
A. アウトソーシングされた活動は中核であり、組織に差別化された優位性を提供する。
B. 定期的な再交渉が業務委託契約に定められている。
C. アウトソーシング契約は、その取り決めによって必要とされるすべての行為をカバーしていない。
D. 同じような業務を複数のベンダーに委託している。
回答を見る
正解: D
質問 #88
ネットワーク設定の監査を計画するとき、IS監査人は、次のネットワーク文書のどれを入手することを最優先すべきか?
A. 配線図と回路図
B. 利用者のリストと責任
C. 申請リストとその詳細
D. バックアップとリカバリの手順
回答を見る
正解: A
質問 #89
ある企業が、公開鍵基盤に基づく電子署名スキームの導入を決定した。ユーザーの秘密鍵はコンピュータのハードディスクに保存され、パスワードで保護される。この手法の最も重大なリスクは次のとおりである:
A. パスワードが漏洩した場合、利用者の電子署名を他人が使用すること。
B. 他ユーザの秘密鍵を使ってメッセージに電子署名することによる偽造。
C. ユーザーの公開鍵を他人の公開鍵とすり替えることによる、ユーザーのなりすまし。
D. コンピュータ上で他人の秘密鍵をすり替えることによる偽造。
回答を見る
正解: B
質問 #90
IS監査人が、最終報告書を提出する前に、経営者と意見交換を行うべき主な理由はどれか。
A. 観測に関連するビジネスリスクを特定する。
B. 管理強化で経営陣を支援する。
C. 提案された是正措置の方針を記録する。
D. 監査結果を検証する。
回答を見る
正解: A
質問 #91
B.取引先のサーバーに実装されているセキュア・ソケット・レイヤー(SSL)暗号化通信でデータを送信する場合、懸念されるのは次のうちどれか。
A. 組織は暗号化をコントロールできない。メッセージは盗聴の対象となる。
B. C
C. D
回答を見る
正解: A
質問 #92
セキュリティポリシーの導入と維持を成功させるために最も重要なものはどれか。
A. すべての適切な関係者が、文書化されたセキュリティポリシーの枠組み及び意図を理解する。
B. セキュリティポリシーの実施及び維持に対する経営者の支持及び承認
C. セキュリティ規則違反に対する懲罰的措置の提供による、セキュリティ規則の施行。
D. アクセス制御ソフトウェアによる、セキュリティ担当者によるルールの厳格な実施、監視、執行。
回答を見る
正解: D

送信後に回答を表示する

質問の回答を得るには、電子メールと WhatsApp を送信してください。

注: 正しい試験結果を得ることができるように、電子メール ID と WhatsApp が有効であることを確認してください。

Eメール:
WhatsApp/電話番号:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.