すべての情報を見逃したくないですか?

認定試験に合格するためのヒント

最新の試験ニュースと割引情報

当社の専門家による厳選最新情報

はい、ニュースを送ってください

CISM Dumps & Exam Questions 2024, 情報セキュリティ管理者認定試験|SPOTO

SPOTO'のCISM Dumps & Exam Questions 2024でCISM試験の準備を強化しましょう。CISM(認定情報セキュリティ管理者)は、企業の情報セキュリティプログラムの開発と管理に関する高度な専門知識を証明する資格です。無料の試験オプションを含む包括的な模擬試験にアクセスして、試験ダンプとサンプル問題に取り組み、重要な概念の理解を強化しましょう。現実的な模擬試験で試験環境をシミュレートし、試験の練習に磨きをかけましょう。SPOTOの詳細な試験資料と解答を活用して、準備をさらに強化しましょう。SPOTOの試験準備資料と高度な試験シミュレータを利用すれば、自信を持ってCISM試験に取り組み、情報セキュリティのキャリアで成功するための十分な準備ができます。

他のオンライン試験を受ける
質問 #1
情報セキュリティガバナンスプログラムの最も重要な目標はどれか。
A. 内部統制メカニズムの見直し
B. ビジネス上の意思決定への効果的な関与
C. 危険因子の完全除去
D. データに対する信頼の確保
回答を見る
正解: D
質問 #2
インシデント対応ポリシーには、以下の内容が含まれていなければならない:C.
A. コールツリーを更新した。
B. エスカレーション基準。プレスリリースのテンプレート。
C. D
回答を見る
正解: A
質問 #3
特定された脆弱性をタイムリーに緩和する最善の方法はどれか。
A. 継続的脆弱性監視ツール
B. システムの重要性に基づく脆弱性の分類
C. 主要リスク指標(KRI)のモニタリング
D. 責任と期限を定めた行動計画
回答を見る
正解: C
質問 #4
ベンダーが提供するホットサイトでのディザスタリカバリ・テストを成功させるために最も重要な要素はどれか。
A. B
B.
A. テストは週末に予定されている ネットワークIPアドレスは事前に定義されている
C. ホットサイトの設備は同一である。
D. 経営陣が積極的に参加
回答を見る
正解: B
質問 #5
情報セキュリティマネジャーが規制当局の審査に備えるのに最も適しているのはどれか。
A. 規制当局との連絡役として情報セキュリティ管理者を任命する。
B. 規制ガイドラインと報告書を用いて自己評価を行う。
C. プロセス・オーナーの意見を取り入れた過去の規制報告書の評価
D. すべての規制に関する問い合わせが法務部門によって承認されていることを確認する。
回答を見る
正解: D
質問 #6
インシデント対応プログラムが成熟している組織では、すべての主要な情報セキュリ ティインシデントについてインシデント後のレビューを実施する。これらのレビューの第一の目標は、次のとおりである:
A. インシデントの根本原因を文書化し、経営幹部に報告する。
B. 修正が必要なセキュリティプログラムギャップやシステマティックな弱点を特定する。
C. 外部関係者へのインシデントに関する適切な吟味を経た通知を準備する。説明の説明/参照
D. セキュリティインシデントの責任を誰が負うべきかを特定する。
回答を見る
正解: D
質問 #7
パスワードの複雑さに関する組織のセキュリティ要件にユーザーが準拠していることを確認する最善の方法は何ですか?
A. セキュリティ基準にパスワードの構築要件を含める。
B. 各ユーザーにパスワード要件を確認させる
C. ユーザーのコンプライアンス違反に対する厳しい罰則の実施
D. システム強制パスワード設定を有効にする
回答を見る
正解: C
質問 #8
セキュリティ意識向上トレーニングが効果的であったことを示す指標として、最も適切なものはどれか。
A. 従業員はセキュリティポリシーを承認するために署名する。
B. より多くの事件が報告されている
C. 従業員の過半数が研修を修了している。
D. この3ヶ月間、事故は報告されていない
回答を見る
正解: D
質問 #9
セキュリティポリシーの導入と維持を成功させるために最も重要なものはどれか。
A. すべての適切な関係者が、文書化されたセキュリティポリシーの枠組み及び意図を理解する。
B. セキュリティポリシーの実施及び維持に対する経営者の支持及び承認
C. セキュリティ規則違反に対する懲罰的措置の提供による、セキュリティ規則の施行。
D. アクセス制御ソフトウェアによる、セキュリティ担当者によるルールの厳格な実施、監視、執行。
回答を見る
正解: A
質問 #10
情報セキュリティ・ポリシーは、次のようなものでなければならない:
A. 企業ネットワークの脆弱性に対処する。
B. 違反を伝えるプロセスを取り上げる。
C. ストレートで理解しやすい。
D. 特定のグループや役割に合わせてカスタマイズできる。
回答を見る
正解: C
質問 #11
セキュリティ・ポリシーが厳格に実施される場合、最初のインパクトは次のようになる:
A. より頻繁に修正する必要があるかもしれない。
B. 挑戦の対象になりにくくなる。
C. セキュリティの総コストが増加する。
D. コンプライアンス・レビューの必要性が減少する。
回答を見る
正解: C
質問 #12
情報資産を不必要なリスクにさらすことなく、ハッカーの活動を検知・監視する最善の方法は、活用することである:
A. ファイアウォール。
B. バスティオンの宿主
C. おとりのファイル
D. スクリーン化されたサブネット
回答を見る
正解: C
質問 #13
サービスへのタイムリーで確実なアクセスを保証するものとして、最も適切なものはどれか。
A. 真正性
B. 回復時間の目標
C. 可用性
D. 否認防止
回答を見る
正解: A
質問 #14
インシデント管理チームにより、インシデント発生後のレビューが実施されるべきである:D.
A. 関連する電子証拠。
B. 学んだ教訓
C. ハッカーの身元。
D. E
回答を見る
正解: C
質問 #15
複数のサーバーの復旧中に、外部顧客にサービスを提供する重要なプロセスの復旧が障害により遅れ、その結果、収益が失われた。このような事態を防ぐのに最も効果的だったのは、次のうちどれでしょう?
A. 経営幹部のリスク許容度の検証
B. ビジネスインパクト分析(BIA)の更新
C. より効果的な災害復旧計画(DRP)テスト
D. インシデント識別方法の改善
回答を見る
正解: D
質問 #16
情報セキュリティが違反ログをどの程度監視しているかを測定する上で、最も有用な指標はどれか。
A. 調査された侵入の試み
B. 違反ログ報告書の作成
C. 違反ログエントリー
D. 是正措置の実施頻度
回答を見る
正解: B
質問 #17
次のうち、組織の文化をよりセキュリティ意識の高いものに変える可能性が最も高いのはどれか。
A. 適切なセキュリティ方針と手順
B. 定期的なコンプライアンスレビュー
C. セキュリティ運営委員会
D. セキュリティ意識向上キャンペーン
回答を見る
正解: A
質問 #18
インシデント対応チームを訓練する際、卓上演習を用いる利点は、以下のとおりである:
A. 事故対応の実践的な経験をチームに提供する。
B. あらゆるアクシデントにチームが対応できるようにする。
C. 対応プロセスに上級管理職を関与させる必要性を排除する。
D. チームが効果的な対応のやりとりを展開できるようにする。
回答を見る
正解: D
質問 #19
ソーシャル・エンジニアリング攻撃の潜在的影響を軽減するのはどれか?
A. 規制要件の遵守
B. 倫理的理解の促進
C. セキュリティ意識向上プログラム
D. 効果的な業績インセンティブ
回答を見る
正解: B
質問 #20
組織が新たな規制要件の対象となった場合、情報セキュリティマネジャーはまずどのような行動を取るべきか。
A. ギャップ分析の実施
B. コントロールアセスメントの完了
C. コンプライアンスをサポートするビジネスケースを提出する。
D. リスク登録の更新
回答を見る
正解: D
質問 #21
情報セキュリティマネジャーが、最近のビジネス変化に起因する新たな情報セ キュリティリスクに対処するための戦略を策定した。この戦略を経営幹部に提示する際に、最も重要な内容はどれでしょうか。
A. ビジネス・プロセスの変更に伴うコスト
B. 同業他社とのベンチマーク結果
C. 組織の変化がセキュリティリスクプロファイルに与える影響
D. リスク軽減に必要なセキュリティ管理
回答を見る
正解: C
質問 #22
データベース管理者(DBA)が行う次の作業のうち、別の人が行うべきものはどれですか?
A. データベース活動ログの削除
B. データベース最適化ツールの導入
C. データベースの使用状況の監視
D. バックアップとリカバリ手順の定義
回答を見る
正解: D
質問 #23
ITサポートスタッフとエンドユーザーとの間に職務分離の懸念がある場合、適切な代償管理は何か。
A. コンピューティング機器への物理的アクセスの制限
B. トランザクションログとアプリケーションログのレビュー
C. ITスタッフの雇用に先立つ身元調査の実施
D. 一定時間操作がないとユーザーセッションをロックする
回答を見る
正解: C
質問 #24
インシデント対応テストのための卓上テスト計画を策定する場合、シナリオの主な目的は次のとおりである:
A. 組織全体の準備態勢を測る指標をビジネスに与える。
B. 参加者に状況を提供し、それぞれの役割を理解させる。
C. インシデント対応チームの一員として、経営陣の関与を測定する。
D. インシデント対応チームに、プレッシャーの中で問題を解決するよう求める。
回答を見る
正解: D
質問 #25
セキュリティ・ガバナンスは、次のITインフラストラクチャ・コンポーネントのどれと最も関連しているか?
A. ネットワーク
B. アプリケーション
C. プラットフォーム
D. プロセス
回答を見る
正解: A
質問 #26
特定のビジネスアプリケーションに必要な情報セキュリティレベルを実装し、維持するために最も適切な人材はどれか。
A. システムアナリスト
B. 品質管理マネージャー
C. プロセス・オーナー
D. 情報セキュリティ管理者
回答を見る
正解: D
質問 #27
IT部門に対する業績のプレッシャーが、情報セキュリティ管理 と相反する可能性があるという問題に対処するためには、以下が 最も重要である:
A. コンプライアンス違反は上級管理職に報告される。
B. 情報セキュリティ管理部門は業績に関する問題を理解している
C. ITパフォーマンスのプレッシャーに対応するため、セキュリティポリシーを変更する。
D. 経営幹部による指導と紛争解決
回答を見る
正解: D
質問 #28
事故後のレビューでは、行動の順序と相関関係を第一義的に分析しなければならない:
A. 事故中に作成された文書
B. 関係するシステムのログ
C. 統合イベントのタイムライン
D. 関係者へのインタビュー
回答を見る
正解: B
質問 #29
データ所有者は通常、次のうちどれに責任を負うか?
A. アプリケーションデータへの緊急変更の適用
B. データベースレコードのセキュリティ管理
C. アプリケーションコードの変更を本番環境に移行する
D. 必要なアプリケーションセキュリティレベルの決定
回答を見る
正解: A
質問 #30
データおよびシステムの所有権に関するポリシーの定義が不適切である場合のリスクとして、最も大きいものはどれか。
A. ユーザー管理の調整が存在しない。
B. 特定のユーザーのアカウンタビリティを確立できない。
C. 権限のないユーザーは、データの発信、変更、削除にアクセスすることができる。
D. 監査勧告が実施されない可能性がある。
回答を見る
正解: B
質問 #31
情報セキュリティマネジャーがアクセス制御リストを確認したところ、ある部門全体に特権アクセスが付与されていることがわかりました。情報セキュリティ管理者が最初に行うべきことはどれか。
A. アクセス許可の手順を見直す
B. 緊急アクセス許可の手順を確立する。
C. データ所有者と会い、ビジネスニーズを理解する
D. B
E. D
回答を見る
正解: A
質問 #32
情報セキュリティマネジャーがリスクアセスメントを完了し、残存リスクを決定した。次のステップに進むべきはどれか。
A. 統制の評価の実施
B. リスクがリスクアペタイトの範囲内かどうかを判断する。
C. リスクを軽減するための対策を実施する。
D. 特定されたすべてのリスクを分類する
回答を見る
正解: C
質問 #33
マネージドセキュリティサービスプロバイダへのアウトソーシングを継続するかどうかを決定する際に、最も重要な考慮事項は次のうちどれですか。
A. 機能のビジネス上の必要性
B. サービスの費用
C. 業界におけるベンダーの評判
D. 成果物を達成する能力
回答を見る
正解: B
質問 #34
侵入に成功したセキュリティ・インシデントを管理するための最善のアプローチは、次のとおりである:
A. 対応中もビジネスプロセスを継続できるようにする。
B. セキュリティチームが攻撃プロファイルを評価できるようにする。
C. 発信源を追跡するため、事件の継続を許可する。
D. インシデント対応プロセスに不備がないか調べる。
回答を見る
正解: C
質問 #35
インターネット上で送信されるデータの機密性を保護するものはどれか?
A. メッセージダイジェスト
B. ネットワークアドレス変換
C. ファイルシステムの暗号化
D. IPsecプロトコル
回答を見る
正解: C
質問 #36
災害復旧計画が策定されたら、次のどの作業を行うべきか?
A. ビジネスインパクトの分析
B. 対応チームの役割を明確にする
C. テスト計画の策定
D. 回復時間の目標を特定する
回答を見る
正解: A
質問 #37
ペネトレーション・テストを実施するベストなタイミングは、その後である:
A. 侵入未遂が発生した。
B. 監査により、セキュリティ管理の弱点が報告された。
C. さまざまなインフラの変更が行われる。
D. システム・スタッフの入れ替わりが激しい。
回答を見る
正解: A
質問 #38
商業用ホットサイト契約に含まれる場合、重大な欠陥となる条件は次のうちどれか?
A. ホットサイト施設は、複数の災害宣言で共有される。
B. すべての備品は "災害時、フロアに置かずに "提供される。
C. 施設は「先着順」ポリシーに従う。
D. 機器は、同等のモデルで代用することができる。
回答を見る
正解: D
質問 #39
次のうち、ネットワークの内部攻撃に最もさらされるのはどれか?
A. ユーザーパスワードは自動的に期限切れにならない
B. すべてのネットワークトラフィックは単一のスイッチを経由する
C. ユーザーパスワードは暗号化されているが、暗号化されていない
D. すべてのユーザーが単一の内部サブネットに存在する
回答を見る
正解: D
質問 #40
大規模なグローバル企業において、新しいセキュリティインフラの設計と実装のスポンサーとして最も適切な役職はどれか。
A. 最高セキュリティ責任者(CSO)
B. 最高執行責任者(COO)
C. チーフ・プライバシー・オフィサー(CPO)
D. 最高法務責任者(CLC)
回答を見る
正解: A
質問 #41
03.情報が分類され、具体的な保護措置が取られることを保証する責任は誰にあるのか?
A. 警備員
B. 上級管理職
C. エンドユーザー
D. 管理人
回答を見る
正解: b
質問 #42
B.ビジネスクリティカルなアプリケーションでは、ユーザーアクセスは管理者によって承認される必要があります:
A. 情報セキュリティマネージャー。
B. C
C. 経営学博士。
回答を見る
正解: C
質問 #43
新システムにおいて情報セキュリティへの適切な対応を確保するために、最も効果的なのはどれか。
A. 実施前に内部監査がセキュリティに署名する。
B. 情報セキュリティ担当者は、本番稼動前にコンプライアンスレビューを実施する。
C. 情報セキュリティ担当者は、システムセキュリティ設計の責任を負う。
D. ビジネス要件にはセキュリティ目標を含める必要がある
回答を見る
正解: B
質問 #44
情報セキュリティマネジャーが、ある部門のシステムが情報セキュリティポリシーのパスワード強度要件に準拠していないことを知った。情報セキュリティ管理者が最初に取るべき行動はどれか。
A. 問題をエスカレーションのために運営委員会に提出する。
B. 影響分析を実施し、関連するリスクを定量化する。
C. 非準拠システムを他のネットワークから隔離する。
D. 経営幹部にリスク受容を要請する
回答を見る
正解: A
質問 #45
06.企業ネットワークでセキュリティ侵害がどのように発生したかを特定するために、セキュリティ管理者はさまざまなデバイスのログを調べます。これらのログの相関関係とレビューを容易にするBESTはどれですか?
A. データベースサーバー
B. ドメインネームサーバー
C. タイムサーバー
D. プロキシサーバー
回答を見る
正解: c
質問 #46
09.次のツールのうち、インシデントレスポンス・チームが複数のシステムにわたる内部脅威活動を最も深く理解できるものはどれですか?
A. 多要素認証による仮想プライベートネットワーク(VPN)
B. セキュリティ情報・イベント管理(SIEM)システム
C. アイデンティティ・アクセス管理(IAM)システム
D. 侵入防御システム(IPS)
回答を見る
正解: b
質問 #47
02.ベル-ラパドゥラ・モデルでは、ある人があるレベルのクリアランスを持っている場合、その人はどのレベルにアクセスできるのか、また、どのような追加要件に直面するのか。
A. 指定されたレベルにしかアクセスできず、バックグラウンドチェックを受けなければならない。
B. 指定されたレベル以上にアクセスでき、それ以上の要求はない。
C. 指定されたレベル以下にアクセスすることができ、知る必要がある。
D. すべてのレベルにアクセスでき、他の条件はない。
回答を見る
正解: c
質問 #48
パブリッククラウドコンピューティング環境で実現するのが最も難しいのはどれか。
A. コスト削減
B. 使用ごとの支払い
C. オンデマンド・プロビジョニング
D. 監査能力
回答を見る
正解: D
質問 #49
あるインシデント対応チームが、インターネット上の既知の悪意のあるホストと通信しているシステムを隔離する必要があると判断しました。次の利害関係者のうち、最初に連絡すべきはどれか。
A. 主要顧客
B. 経営幹部
C. システム管理者
D. 経営者
回答を見る
正解: B
質問 #50
上層部は、従業員が仮想プライベート・ネットワーク(VPN)接続を使用してオフサイトで作業することを承認した。情報セキュリティ管理者が定期的に行うことが最も重要である:
A. 費用対効果分析を行う
B. ファイアウォールの設定を見直す
C. セキュリティ・ポリシーを見直す
D. リスクアセスメントの実施
回答を見る
正解: C
質問 #51
潜在的なセキュリティインシデントの適切な利害関係者への報告とエスカレーションを容易にする最善の方法は、インシデントの分類を以下のような基準に基づいて定義することである:
A. 攻撃に使われたテクニック
B. 攻撃に悪用された脆弱性
C. 検証された事故発生源と業界格付け
D. 事件の重大性と影響
回答を見る
正解: B
質問 #52
情報セキュリティインシデントを特定するために一元化されたメカニズムを使用する最も重要な理由は、以下のとおりである:
A. 不正の可能性を検知する
B. ネットワークへの不正な変更を防ぐ
C. 会社の方針に従う
D. 環境を超えた脅威を検出する
回答を見る
正解: D
質問 #53
05.ネットワークへの侵入に成功した侵入者を、重大な被害が発生する前に検知する最も良い方法はどれか。
A. 定期的な侵入テストの実施
B. 最低限のセキュリティ基本水準を確立する
C. ベンダーのデフォルト設定を導入する
D. ネットワーク上にハニーポットを設置する
回答を見る
正解: d
質問 #54
組織の技術基盤の変更によってもたらされる脆弱性を特定するために、最も役立つのはどれか。
A. 侵入検知システム
B. 確立されたセキュリティ・ベースライン
C. 侵入テスト
D. ログ集計と相関
回答を見る
正解: D
質問 #55
高度な持続的脅威(APT)を検知した後、情報セキュリティ管理者が最初に取るべき行動はどれか。
A. 管理者への通知
B. 脅威を封じ込める
C. 脅威を取り除く
D. 根本原因分析の実施
回答を見る
正解: C

送信後に回答を表示する

質問の回答を得るには、電子メールと WhatsApp を送信してください。

注: 正しい試験結果を得ることができるように、電子メール ID と WhatsApp が有効であることを確認してください。

Eメール:
WhatsApp/電話番号:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.