すべての情報を見逃したくないですか?

認定試験に合格するためのヒント

最新の試験ニュースと割引情報

当社の専門家による厳選最新情報

はい、ニュースを送ってください

CISM認定試験問題集, 情報セキュリティ管理者|SPOTO

SPOTOでCISM認定試験問題集の世界に飛び込みましょう。認定情報セキュリティ管理者(CISM)として、あなたは企業の情報セキュリティプログラムを開発し、管理する高度な専門知識を証明します。無料試験オプションを含む弊社の模擬試験には、幅広い試験問題とサンプル問題が含まれており、全面的な準備をすることができます。詳細な試験資料、試験問題、的確な解答にアクセスし、重要な概念の理解を深めることができます。現実的な模擬試験で試験シナリオをシミュレートし、試験練習を強化します。SPOTOの試験準備資料と高度な試験シミュレータを利用すれば、CISM認定試験に自信を持って臨むことができます。

他のオンライン試験を受ける
質問 #1
侵入検知システム(IDS)を導入する第一の目的は、侵入者を特定することである:
A. ネットワークセキュリティの弱点。
B. 不審なアクセスのパターン
C. ネットワーク上でどのように攻撃が開始されたか。
D. 内部ネットワークへの潜在的な攻撃
回答を見る
正解: B
質問 #2
上級管理職が自分のデバイスを持ち込む(BYOD)プログラムを承認した後、組織の情報セ キュリティ基準の例外が数多く認められている。このような状況に対処するために、情報セキュリティ管理者にとって最も重要なこと は、次のとおりです:
A. デバイスに強力な認証を導入する。
B. 新しい例外要求を拒否する。
C. 情報セキュリティポリシーを更新する。
D. 紛失したデバイスを消去するための認証を必要とする。
回答を見る
正解: D
質問 #3
組織のリスクアペタイトに含まれるリスクはどれか。
A. コントロール
B. 固有
C. 残留
D. 監査
回答を見る
正解: A
質問 #4
情報セキュリティ管理に対する上級管理職のコミットメントを得るために最も効果的なメッセージはどれか。
A. 効果的なセキュリティは、ビジネスへのリスクを排除する。
B. メトリックスで認知されたフレームワークの採用
C. セキュリティはビジネス製品であり、プロセスではない
D. セキュリティはビジネスをサポートし、保護する
回答を見る
正解: D
質問 #5
ログの記録は、システム侵害に対するどのタイプの防御策の一例か?
A. 封じ込め
B. 検出
C. 反応
D. 回復
回答を見る
正解: B
質問 #6
次の変更管理手順のうち、情報セキュリティマネジャーが最も懸念を抱きやすいものはどれか。
A. フォールバックプロセスは、変更が行われる前の週末にテストされる。
B. 開発マネージャがプログラムを本番環境に移行する。
C. プログラムのバージョン比較には、自動化されたプロセスではなく、手動プロセスが使用される。
D. 予定されたシステム変更がユーザーに通知されない。
回答を見る
正解: C
質問 #7
あるグローバル組織が大量の個人データを処理し、保存しています。データアクセスポリシーを作成する上で、最も重要な属性は次のうちどれでしょうか?
A. 可用性
B. 完全性
C. 信頼性
D. 守秘義務
回答を見る
正解: C
質問 #8
ある組織が、同様の技術を利用している他社でセキュリティ侵害が発生したことを知った。情報セキュリティ管理者が最初にすべきことは、次のとおりである:
A. 報告された原因による事故の可能性を評価する。
B. 脆弱な技術の使用を中止する。
C. 組織には影響がないことを経営幹部に報告する。
D. 同様のセキュリティ侵害が起きていないことをスタッフに思い出させる。
回答を見る
正解: C
質問 #9
企業ネットワークで個人所有のデバイスを使用する場合、情報セキュリティ管理者の主な責任は次のうちどれですか?
A. リモートワイプ機能の必要性
B. 規定された方針と手続きの実施
C. セキュリティ意識向上トレーニングの実施
D. モバイル機器のデータを暗号化する
回答を見る
正解: B
質問 #10
次のうち、インシデント対応テスト中に指定されたスポークスマンの主な責任はどれですか?
A. 理事会に事件の重大性を伝える
B. 組織全体のコミュニケーションチャンネルの確立
C. コミュニケーション・プロセスの有効性の評価
D. インシデント対応チームからの連絡の確認
回答を見る
正解: B
質問 #11
情報セキュリティを脅かす可能性のある変更管理プロセスの乱用を示す指標として、最も適切なものはどれか。
A. 少数の変更要求
B. 毎月の変更要求の大幅な減少率
C. 承認後の補足的アドオンを含む変更の割合
D. 総コード行数に対する変更コード行数の割合が高い。
回答を見る
正解: A
質問 #12
大規模なワイヤレスネットワークを既存の有線ネットワークインフラに接続する場合、機密データを保護するのに最適なものはどれか?
A. 強制アクセス制御(MAC)アドレスフィルタリング
B. 強力なパスワード
C. 仮想プライベート・ネットワーク(VPN)
D. ファイアウォール
回答を見る
正解: D
質問 #13
アクセス制御と暗号化アルゴリズムは、次のシステム開発ライフサイクル(SDLC)のどのフェーズで選択されますか?
A. 手続き設計
B. 建築デザイン
C. システム設計仕様
D. ソフトウェア開発
回答を見る
正解: A
質問 #14
情報セキュリティマネジャーが、ネットワークファイルサーバーがハッカーによって侵害されたと考えている。最初に取るべき行動はどれか。
A. サーバー上の重要なデータがバックアップされているか不安。
B. 侵害されたサーバをシャットダウンする。
C. インシデント対応プロセスを開始する。
D. ネットワークをシャットダウンする。
回答を見る
正解: D
質問 #15
データ保持ポリシーを定義する際、最も重要な基準はどれか。
A. 容量要件
B. 監査結果
C. 規制要件
D. 業界のベストプラクティス
回答を見る
正解: B
質問 #16
監視プロセスを一時的に停止することは、たとえ運用上のリスクを容認していたとしても、次のような場合、情報セキュリティマネジャーにとって容認できない可能性がある:
A. それはコンプライアンス上のリスクを意味する。
B. 短期的な影響は判断できない。
C. 業界のセキュリティ慣行に違反している。
D. 役割マトリックスの変化は検出できない。
回答を見る
正解: B
質問 #17
組織Aはeコマースサービスを提供しており、インターネット通信を保護するためにセキュアトランスポートプロトコルを使用している。組織Aとの通信を確認するために、クライアントが確認すべき最善のものはどれか。
A. 電子商取引サーバーの証明書
B. ブラウザのSSL使用表示
C. 電子商取引サーバーのIPアドレス
D. eコマースサーバーのURL
回答を見る
正解: C
質問 #18
シグネチャベースの侵入検知システム(IDS)の有効性を低下させる可能性が最も高いのはどれか?
A. 監視の対象となる活動は、通常と考えられるものから逸脱している。
B. 監視活動に関する情報が古くなる。
C. 普段の行動パターンが素早く劇的に変化する。
D. 環境は複雑だ。
回答を見る
正解: C
質問 #19
事故後のレビューを実施する際、平均解決時間(MTTR)データを収集する最大のメリットは、以下のことが可能になることである:
A. 将来の予防的コントロールのコストを削減する。
B. 経営幹部に報告するための指標を提供する。
C. 潜在的な改善点を知る。
D. サービス・レベル合意(SLA)の遵守を検証する。
回答を見る
正解: D
質問 #20
アプリケーションのプログラマーの一人が、本番データへのアクセスを必要とする 状況を緩和するために、情報セキュリティ管理者は、以下のことを推奨する。
A. プログラマー用にパワーユーザーとして別のアカウントを作成する。
B. スーパーバイザーが確認できるように、プログラマーの行動をすべて記録する。
C. プログラマーに全責任を引き受ける書面に署名させる。
D. アプリケーションの定期的な監査を行う。
回答を見る
正解: D
質問 #21
以下のうち、業務記録の保存は、第一義的に以下に基づくべきである:
A. 定期的な脆弱性評価。
B. 規制および法的要件
C. デバイスの記憶容量と寿命。
D. 過去の訴訟
回答を見る
正解: D
質問 #22
回復時点目標(RPO)は、次のどれを決定するために使用できますか?
A. データ損失の最大許容期間
B. 最大許容ダウンタイム
C. ベースライン
D. バックアップのリストア時間
回答を見る
正解: C
質問 #23
組織のデータセンターでホストされるアプリケーションのデータアクセス要件は、誰が決めるべきか?
A. 事業主
B. 情報セキュリティ管理者
C. システム管理者
D. データ管理者
回答を見る
正解: B
質問 #24
脆弱性評価の主な目的は以下のとおりである:
A. 潜在的な脅威の影響を判断する。
B. 侵入検知システム(IDS)と対応手順をテストする。
C. システムが十分に安全であるという明確な証拠を提示する。
D. システムの危険につながる可能性のある欠陥を検出する。
回答を見る
正解: A
質問 #25
情報セキュリティインシデントへの対応の有効性を検証する際に、最も重要なものはどれか。
A. 教訓は実行に移されている。
B. テストは予定通りに完了した。
C. 試験結果が適切に記録されていること。
D. 指標はダッシュボードに取り込まれている。
回答を見る
正解: C
質問 #26
経営幹部がIT業務のアウトソーシングを検討している。次のうち、社内に残すべき機能はどれですか?
A. データの所有権
B. データモニタリング
C. データ管理者
D. データの暗号化
回答を見る
正解: D
質問 #27
サービス中断の可能性を減らすため、ある企業は複数のインターネット・サービス・プロバイダー(ISP)と契約を結ぶ。その際、最も重要な項目はどれか。
A. サービス・レベル・アグリーメント(SLA)
B. 監査権条項
C. 侵入検知システム(IDS)サービス
D. スパムフィルタリングサービス
回答を見る
正解: C
質問 #28
インシデント対応計画を策定する情報セキュリティマネジャーは、必ずその計画に以下を含めなければならない:
A. 重要なデータのインベントリー
B. エスカレーションの基準
C. 重要インフラ図
D. ビジネスインパクト分析
回答を見る
正解: B
質問 #29
事業継続方針は、次のうちどれを含むべきか?
A. 緊急コールツリー
B. 回復基準
C. 事業影響評価(BIA)
D. 重要なバックアップのインベントリ
回答を見る
正解: C
質問 #30
情報セキュリティ戦略の策定を成功させるために最も重要なものはどれか。
A. よく実施されたガバナンスの枠組み
B. 現状と望ましい目標
C. 実装された開発ライフサイクルプロセス
D. 承認された方針と基準
回答を見る
正解: A
質問 #31
十分に文書化された情報セキュリティ手順がもたらす最大のメリットは、以下のとおりである:
A. セキュリティポリシーが一貫して適用されるようにする。
B. 臨時スタッフが重要なプロセスに従えるようにする。
C. 新しいスタッフのセキュリティ研修を促進する。
D. セキュリティ対策を監査するための基礎を提供する。
回答を見る
正解: D
質問 #32
プライバシー・ポリシーの最も重要な要素は、次のとおりである:
A. 通知
B. 保証
C. 負債
D. 地理的カバー率
回答を見る
正解: A
質問 #33
インシデント処理手順を策定する際に、ITサービスディスクの役割を考慮する最も重要な理由はどれか。
A. サービスデスクの担当者は、一般的なシステム問題の解決方法に関する情報を持っている。
B. サービスデスクは、セキュリティインシデントを特定するための情報源を提供する。
C. サービスデスクは、ユーザーに基づいてシステム復旧の優先順位を決めるための情報を提供する。
D. 訓練を受けていないサービスデスク要員は、セキュリティインシデントの原因となる可能性がある。
回答を見る
正解: B
質問 #34
完全機能継続性テストを実施する前に、情報セキュリティマネジャーが確認することが最も重要なのはどれか。
A. 事業者によるリスク受容が文書化されている。
B. インシデントレスポンスとリカバリプランが簡単な言葉で文書化されている。
C. 復興に責任を持つチームと個人が特定された。
D. 復旧計画およびインシデント対応計画のコピーは、オフサイトに保管する。
回答を見る
正解: A
質問 #35
機密性、完全性、可用性(CIA)の三位一体の中で、完全性の概念を最もよくサポートする活動はどれか。
A. サービスレベル契約の実施
B. データ分類スキーマの実装
C. 転送中のデータの暗号化の確保
D. 正式な変更管理プロセスの活用
回答を見る
正解: C
質問 #36
情報セキュリティインシデントの事後レビューに第三者チームを参加させる主な目的は、以下のとおりである:
A. 事故の根本原因について、独立した客観的なレビューを可能にする。
B. 第三者チームの専門性を高めるためのサポートを得る。
C. 情報セキュリティマネジメントプロセスをさらに改善するための教訓を特定する。
D. 情報セキュリティプログラムに対するより良い賛同を得る。
回答を見る
正解: B
質問 #37
情報セキュリティ管理グループは、次のことを行う:
A. 全般的な監督と指導を行う。
B. 情報セキュリティポリシーを策定する。
C. 情報セキュリティのベースラインを確立する。
D. セキュリティ・プログラムの日常業務を監督する。
回答を見る
正解: A
質問 #38
ある組織が、顧客宛てのメール送付を行うために、新しいビジネスパートナーと契約を締結しようとしている。情報セキュリティマネジャーが実行すべき最も重要な行動は何か。
A. ビジネスパートナーのセキュリティ管理に関するデューデリジェンス・セキュリティレビュー
B. ビジネスパートナーが効果的な事業継続プログラムを持っていることを確認する。
C. 第三者が契約上、関連するすべてのセキュリティ要件に対して義務を負っていることを確認する。
D. ビジネス・パートナーの他の顧客に話を聞き、業績に関するリファレンスを確認する。
回答を見る
正解: A
質問 #39
あるグローバルな金融機関が、リスクアセスメントチームによって発見されたサービス拒否(DoS)リスクについて、これ以上の対策を講じないことを決定した。彼らがこの決定を下した最も可能性の高い理由は、以下の通りである:
A. このようなリスクが発生しないよう、十分な安全策が講じられている。
B. 必要な対策が複雑すぎて展開できない。
C. 対策費用が資産の価値と潜在的損失を上回る。
D. リスクが発生する可能性は不明である。
回答を見る
正解: C
質問 #40
情報セキュリティ管理者が、侵入防御システム(IPS)に関連する継続的な年間保守料を正当化する最も適切な方法はどれか。
A. 侵入テストを実施し、保護能力を実証すること。
B. 毎年業界調査を実施し、IPS の総合ランキングを文書化する。
C. パフォーマンスを追跡する適切な指標を確立し、提示する。
D. IPS の価値を説明するために、年間競争価格を提示すること。
回答を見る
正解: B
質問 #41
情報セキュリティ戦略がビジネスと整合していることを示す最も適切なものはどれか。
A. 情報セキュリティの取り組みによって直接支援されるビジネス目標の数
B. 企業予算のうち、情報セキュリティ対策に割り当てられる割合
C. 情報セキュリティに関する意識向上セッションに参加した経営幹部数
D. 定義されたサービスレベル合意内で解決された情報セキュリティインシデントの割合
回答を見る
正解: B
質問 #42
ビジネスインパクト分析は、主に以下の目的で定期的に実施されるべきである:
A. 環境の変化に対する脆弱性を検証する。
B. 資産の重要性を分析する。
C. コントロールの有効性を検証する。
D. 規定遵守のチェック
回答を見る
正解: C
質問 #43
情報セキュリティ監査において、ITスタッフがITシステムの設定と管理を行う際に、定められた基準に従っていなかったことが判明した。今後の再発を防止するための最善の方法はどれか。
A. 例外を許容するための設定ベースラインの更新
B. 定期的な脆弱性スキャンの実施
C. 年次情報セキュリティ意識向上トレーニングの実施
D. 厳格な変更管理プロセスの導入
回答を見る
正解: D
質問 #44
組織がインシデント対応計画を策定する最大の理由は何か?
A. 直ちに回復手順を開始する。
B. インシデント対応チームのトレーニング要件を特定する。
C. インシデントの重要性に基づいて治療の優先順位を決める。
D. インシデントの利害関係者への通知プロセスを提供する。
回答を見る
正解: D
質問 #45
ある組織が社内に文書コラボレーションサイトを設立した。各プロジェクトグループのデータの機密性を確保するために、以下のことが最も重要である:
A. リモートアクセスを禁止する。
B. 定期的にアクセス権を再認証する。
C. 文書のライフサイクル管理を実施する。
D. 脆弱性評価を実施する。
回答を見る
正解: D
質問 #46
事業継続マネジメントにおいて、最も重要な検討事項はどれか。
A. 人の安全の確保
B. 重要なビジネスプロセスの特定
C. バックアップデータの信頼性確保
D. 重要な情報資産の保護
回答を見る
正解: A
質問 #47
新しいベンダーの脆弱性を特定する最も費用対効果の高い方法は何か?
A. 外部脆弱性報告ソース
B. コンサルタントによる定期的な脆弱性評価
C. 侵入防止ソフトウェア
D. DMZにあるハニーポット
回答を見る
正解: C
質問 #48
災害復旧/事業継続計画が常に最新の状態に保たれるようにするための変更管理手続きは、次のうちどれがBESTでしょうか?
A. 年間システムインベントリと災害復旧、事業継続計画の照合
B. 災害復旧/事業継続計画の定期監査
C. 総合的なウォークスルーテスト
D. システムライフサイクルプロセスの必須ステップとしての包含
回答を見る
正解: A
質問 #49
ある小さな組織が、多国籍のクラウドコンピューティングベンダーと契約を結んでいる。契約から漏れた場合、情報セキュリティマネジャーが最も懸念するのはどれか。
A. データへのアクセスを承認する加入者の権限
B. 加入者がベンダーに対して実地監査を実施する権利。
C. コード解放の条件付きソフトウェアコードのエスクロー
D. 同一物理サーバー上の加入者データの混在
回答を見る
正解: B
質問 #50
情報セキュリティマネジャーがセキュリティプログラムに関して上級管理職に伝えるべき内容として、最も重要なものはどれか。
A. 潜在的リスクとエクスポージャー
B. 影響分析結果
C. セキュリティ・アーキテクチャの変更
D. ユーザーの役割と責任
回答を見る
正解: A
質問 #51
パブリック・クラウドではなくプライベート・クラウドを選ぶ最大のメリットは、次のようなものだろう:
A. サーバーの保護。
B. データ・フォレンジックの収集
C. オンラインサービスの可用性
D. 顧客データの封じ込め
回答を見る
正解: C
質問 #52
情報セキュリティに対する上級管理職のコミットメントと支援は、以下のようなプレゼンテー ションを通じて得ることができる:
A. 成功した攻撃の例を使って説明する。
B. 組織にとっての技術的リスクを説明する。
C. セキュリティのベストプラクティスに照らして組織を評価する。
D. セキュリティリスクを主要なビジネス目標に関連付ける。
回答を見る
正解: D
質問 #53
ある組織が使用しているファイアウォールソフトウェアに深刻な脆弱性が報告された。情報セキュリティ管理者が直ちに取るべき行動はどれか。
A. すべてのOSパッチが最新であることを確認する。
B. 適切な解決策が見つかるまで、インバウンドのトラフィックをブロックする。
C. ファイアウォールの製造元から指導を受ける。
D. 侵入テストを依頼する
回答を見る
正解: B
質問 #54
情報セキュリティプログラムとその基礎となるビジネスプロセスの全体的な有効性を判断するために、最も関連性の高い情報はどれか。
A. バランススコアカード
B. 費用便益分析
C. 業界ベンチマーク
D. SWOT分析
回答を見る
正解: D
質問 #55
ある多国籍企業が、未承認のクラウドサービスの使用によるデータ漏えいがないかどうか、アウトバウンドトラフィックを監視したいと考えている。この対策を実施する際、情報セキュリティ管理者が最も考慮すべきことはどれか。
A. クラウドサービスのセキュリティ
B. データプライバシー規制
C. ビジネス・ユーザーからの抵抗
D. 監視リソースの割り当て
回答を見る
正解: C
質問 #56
事業継続計画(BCP)または災害復旧プログラム(DRP)を定義する組織にとって、次のうちどれが重要な考慮事項でしょうか?
A. バックアップサイトの設定
B. 冗長システムの維持
C. 復旧時間目標(RTO)との整合性
D. データのバックアップ頻度
回答を見る
正解: B
質問 #57
大規模で複雑なITインフラを持つ組織にとって、ディザスタリカバリ・ホットサイト・サービスの次の要素のうち、最も綿密な監視が必要なものはどれでしょうか?
A. 従業員のアクセス
B. 監査権
C. システム構成
D. 加入者数
回答を見る
正解: D
質問 #58
クラウド技術環境において、セキュリティ・インシデントの調査に最も大きな困難をもたらすのはどれか。
A. ハードウェアへのアクセス
B. データの暗号化
C. 非標準イベントログ
D. 圧縮された顧客データ
回答を見る
正解: D
質問 #59
情報セキュリティマネジャーが、組織の重要なシステムが新たなゼロデイ攻撃に対して脆弱かもしれないと判断した。最初にとるべき行動は次のとおりである:
A. リスクと修復費用について経営陣に助言する。
B. 妥協の確率を分析する。
C. 同業他社を調査し、どのようにこの問題に取り組んでいるかを確認する。
D. ファイアウォール設定を再評価します。
回答を見る
正解: A
質問 #60
ある事業部では、強力なパスワード・ポリシーのeコマース・アプリケーションを使用している。多くの顧客は、パスワードが長すぎて複雑なため、覚えられないと不満を漏らしている。この事業部門は、顧客体験を向上させることが急務であるとしている。情報セキュリティマネジャーは、次のことを行うべきである:
A. 顧客体験を向上させるためにパスワードポリシーを変更する。
B. 別の安全な本人確認方法を研究する。
C. 顧客体験が事業収益に与える影響を評価する。
D. 二要素認証の導入を推奨する
回答を見る
正解: C
質問 #61
情報資産の復旧時間目標(RTO)を定義する際の主な考慮事項は以下の通りである:
A. 規制当局の要求
B. ビジネス要件
C. 財務的価値
D. ITリソースの可用性。
回答を見る
正解: A
質問 #62
セキュリティ対策を実施するときに費用便益分析を行う最も重要な理由はどれか。
A. 現実的な情報セキュリティ予算を提示する
B. ベネフィットがビジネス戦略と整合していることを確認する。
C. 緩和努力が資産価値を超えないようにする。
D. 情報セキュリティプログラム活動を正当化する。
回答を見る
正解: A
質問 #63
あるプロジェクトマネジャーが開発者向けポータルを開発中で、セキュリティマネジャーに、社内のスタッフだけでなく、社外のコンサルタントもアクセスできるようにパブリックIPアドレスを割り当てるよう要求している。セキュリティマネジャーは、まず何をすべきでしょうか?
A. 開発者ポータルのビジネス要件を理解する
B. 開発者ポータルの脆弱性評価を実施する
C. 侵入検知システム(IDS)の導入
D. サーバーへの外部アクセスを許可する前に、外部のコンサルタントから署名入りの秘密保持契約書(NDA)を入手する。
回答を見る
正解: C
質問 #64
シングルサインオン(SSO)の主な利点は、以下のとおりである:
A. 複数の認証メカニズムをサポートする。
B. セキュリティ関連のアプリケーションを増やす。
C. ユーザーパスワードを強化する。
D. アクセス管理の効率化
回答を見る
正解: B
質問 #65
インシデント対応計画の効果的な実行を促進する最良のものはどれか。
A. 対応チームは計画の訓練を受ける。
B. 計画はリスクアセスメントの結果に基づいている。
C. インシデント対応計画は、IT災害復旧計画と整合している。
D. プランは業界のベストプラクティスに基づいている。
回答を見る
正解: B
質問 #66
次のセキュリティ目標のうち、不正な改ざんから情報を保護することを確実にするものはどれか。
A. 真正性
B. 可用性
C. 守秘義務
D. 完全性
回答を見る
正解: D

送信後に回答を表示する

質問の回答を得るには、電子メールと WhatsApp を送信してください。

注: 正しい試験結果を得ることができるように、電子メール ID と WhatsApp が有効であることを確認してください。

Eメール:
WhatsApp/電話番号:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.