すべての情報を見逃したくないですか?

認定試験に合格するためのヒント

最新の試験ニュースと割引情報

当社の専門家による厳選最新情報

はい、ニュースを送ってください

CISM試験対策:学習教材と模擬試験、公認情報セキュリティ・マネージャー|SPOTO

SPOTOのCISM試験対策:学習教材と模擬試験で、認定情報セキュリティ管理者(CISM)試験に効果的に備えましょう。CISMとして、あなたは企業の情報セキュリティプログラムの開発と管理における高度な専門知識を証明します。SPOTOの総合的な学習教材と模擬試験(無料試験オプションを含む)にアクセスして、試験ダンプ、サンプル問題、および試験資料を詳しく調べます。現実的な模擬試験で試験環境をシミュレートし、試験練習に磨きをかけましょう。SPOTOの詳細な解答と試験シミュレーターを利用して、準備を強化しましょう。オンライン試験問題を含むSPOTOの試験対策資料で、あなたはCISM試験で優秀な成績を収め、情報セキュリティの分野でキャリアアップするための十分な準備をすることができます。

他のオンライン試験を受ける
質問 #1
提供された情報に基づき、複数の、しかし小規模な国内処理拠点を持つ組織にとって、最も大きな情報セキュリティリスクとなる状況はどれか。
A. システム運用手順が実施されていない
B. 変更管理手順が不十分
C. システム開発のアウトソーシング
D. システムの容量管理が行われていない
回答を見る
正解: C
質問 #2
ある組織の経営幹部が、従業員に販売促進目的でソーシャルメディアを利用するよう奨励している。この戦略をサポートするために、情報セキュリティマネジャーが最初に着手すべきことはどれか。
A. ソーシャルメディアをセキュリティ意識向上プログラムに組み込む。
B. ソーシャルメディアの使用に関するガイドラインを作成する。
C. データ損失防止ソリューションのビジネスケースを作成する。
D. ウェブコンテンツフィルタリングソリューションを使用する。
回答を見る
正解: C
質問 #3
情報セキュリティプロジェクトを提案する際にビジネスケースを作成する主な理由は、次のとおりである:
A. 事業目標に対するプロジェクトの価値を確立する。
B. 規制遵守に関するプロジェクトの価値を確立する。
C. 関連するビジネス関係者がプロジェクトに関与していることを確認する。
D. 包括的なセキュリティ管理策を確実に特定する
回答を見る
正解: C
質問 #4
新しいシステムが開発されたが、そのシステムはパスワード老化規則に準拠していない。この不適合は、以下の方法で確認することができる:
A. ビジネスインパクト分析
B. 内部監査評価
C. インシデント管理プロセス
D. 段階的な一連の警告
回答を見る
正解: C
質問 #5
スーパーユーザーアカウントを使用して侵入された金融機関のウェブサーバーは隔離され、適切なフォレンジックプロセスが実施された。次のステップは
A. 最後に検証したバックアップからサーバーを再構築する。
B. Webサーバーを隔離します。
C. 組織的にサーバーをシャットダウンする。
D. 元のメディアと関連パッチを使用してサーバーを再構築する。
回答を見る
正解: C
質問 #6
ある事業部では、強力なパスワード・ポリシーのeコマース・アプリケーションを使用している。多くの顧客は、パスワードが長すぎて複雑なため、覚えられないと不満を漏らしている。この事業部門は、顧客体験を向上させることが急務であるとしている。情報セキュリティマネジャーは、次のことを行うべきである:
A. 顧客体験を向上させるためにパスワードポリシーを変更する。
B. 別の安全な本人確認方法を研究する。
C. 顧客体験が事業収益に与える影響を評価する。
D. 二要素認証の導入を推奨する
回答を見る
正解: A
質問 #7
組織の個人情報保護責任者を支援する場合、プライマシー要件に関する情報セキュリティマネジャーの主な役割は次のうちどれですか?
A. 個人データの転送を監視する
B. プライバシー啓発プログラムの実施
C. 適切な管理体制の確保
D. データ分類の決定
回答を見る
正解: D
質問 #8
セキュリティ環境における投資収益率(ROI)の算出において、最も大きな課題はどれか。
A. インシデントの発生件数は事前に決定できない
B. プロジェクト費用の超過が予測できない
C. セキュリティ・ツールのコストは見積もるのが難しい
D. セキュリティ事故のコストは見積もることができない
回答を見る
正解: A
質問 #9
非武装地帯(DMZ)内に置くべきデバイスはどれか。
A. ネットワーク・スイッチ
B. ウェブサーバー
C. データベースサーバー
D. ファイル/プリントサーバー
回答を見る
正解: A
質問 #10
経営陣が情報セキュリティの意思決定プロセスにおいてオーナーシップを持つことを確実にするBESTはどれか。
A. セキュリティ方針と手順
B. 経営陣による年次自己評価
C. 安全保障委員会
D. セキュリティ意識向上キャンペーン
回答を見る
正解: C
質問 #11
ある組織が、ハイブリッド・データ・インフラを採用し、非中核的なアプリケーションをすべてクラウド・サービス・プロバイダーに移管し、中核的なビジネス機能はすべて自社で維持しようとしている。情報セキュリティマネジャーは、深層防衛戦略を使用すべきであると判断した。この戦略を最もよく表しているのは次のうちどれですか?
A. クラウドサービス・アプリケーションの多要素ログイン要件、タイムアウト、複雑なパスワード
B. インフラ内のネスト化されたファイアウォールの展開
C. C
D. 役割ベースのアクセス制御(RBAC)の厳格な実施
回答を見る
正解: C
質問 #12
情報セキュリティ管理者は、リスクアセスメントの手法を使用して、次のことを行う:
A. リスク軽減戦略の選択を正当化する。
B. 投資収益率(ROD)を最大化する。
C. 監査人や規制当局のために文書を提供する。
D. そうでなければ主観的になってしまうリスクを定量化する。
回答を見る
正解: B
質問 #13
緊急行動は、災害の初期段階において、負傷者や人命の損失を防ぐことを目的として行われる:
A. 物的損害の程度を判断すること。
B. 環境条件を維持する。
C. 計画を整然と起動させること。
D. 作戦上のダメージの程度を減らす。
回答を見る
正解: A
質問 #14
システム開発プロジェクトのテストフェーズにおいて、機密性の高い顧客データを使用する場合のアプローチとして、最も適切なものはどれか。
A. 別のネットワーク上にテスト環境を構築する。
B. 顧客データを消毒する。
C. テスト環境のデータ損失を監視する。
D. ソースシステム上のものと同等のコントロールを実装する。
回答を見る
正解: C
質問 #15
セキュリティ手順を正式に文書化する最も重要な理由は、それを確実にすることである:
A. プロセスは反復可能で持続可能である。
B. ビジネス目標との整合性
C. 監督機関による監査可能性
D. メトリクスの適用に関する客観的基準。
回答を見る
正解: B
質問 #16
高セキュリティ・データ・センターを保護するバイオメトリック・アクセス・コントロール・システムを構成する場合、システムの感度レベルは、より高い偽拒否率(FRR)に設定されるべきである。
A.
B. より低いクロスオーバーエラー率に。
C. 誤認識率(FAR)が高くなる。
D. 正確にはクロスオーバーのエラー率。
回答を見る
正解: C
質問 #17
ある金融機関のメイン・メール・サーバーがスーパーユーザーレベルで侵害された:
A. システムのルートパスワードを変更する。
B. 多要素認証を実装する。
C. オリジナルのインストール媒体からシステムを再構築する。
D. メールサーバーをネットワークから切り離す。
回答を見る
正解: B
質問 #18
次の環境のうち、組織のセキュリティにとって最も大きなリスクはどれか。
A. ローカル管理ファイルサーバー
B. エンタープライズデータウェアハウス
C. 負荷分散されたウェブサーバクラスタ
D. 集中管理されたデータ・スイッチ
回答を見る
正解: B
質問 #19
ある組織が、従業員に個人用コンピューティングデバイスを業務目的で使用させるかどうかを検討している。上級管理職の決定を円滑に進めるために、情報セキュリティマネジャーは以下のことを行う必要があります:
A. 戦略を事業目標にマッピングする。
B. 費用対効果分析を行う
C. リスクアセスメントの実施
D. ビジネスケースを作成する
回答を見る
正解: C
質問 #20
大規模なワイヤレスネットワークを既存の有線ネットワークインフラに接続する場合、機密データを保護するのに最適なものはどれか?
A. 強制アクセス制御(MAC)アドレスフィルタリング
B. 強力なパスワード
C. 仮想プライベート・ネットワーク(VPN)
D. ファイアウォール
回答を見る
正解: D
質問 #21
ユーザーがセキュア・ソケット・レイヤー(SSL)を通じてウェブ・サーバーに認証するためにクライアント側のデジタル証明書を使用する場合、機密性は次のうちどれに対して最も脆弱か?
A. IPスプーフィング
B. 中間者攻撃
C. 否認
D. トロイの木馬
回答を見る
正解: C
質問 #22
漏洩したサーバーからフォレンジック調査のために証拠を入手しなければならない。どのようなソースが最適でしょうか?
A. すべてのハードドライブデータのビットレベルコピー
B. オフサイトに保存された最後の検証済みバックアップ
C. 揮発性メモリからのデータ
D. バックアップサーバー
回答を見る
正解: D
質問 #23
効果的な情報セキュリティ戦略を策定する上で、最も重要な推進要因はどれか。
A. 情報セキュリティ基準
B. 遵守事項
C. ベンチマークレポート
D. セキュリティ監査報告書
回答を見る
正解: A
質問 #24
新しい情報セキュリティフレームワークを採用するかどうかを検討する場合、組織の情報セキュリティマネジャーはFIRSTを行うべきである:
A. フレームワークと現在のビジネス戦略を比較する。
B. 技術的実現可能性分析を行う
C. 財務的な実行可能性調査を行う
D. フレームワークの法的意味合いとビジネスへの影響を分析する。
回答を見る
正解: C
質問 #25
バイオメトリクス認証システムの実装を成功させるために最も重要なものはどれか。
A. 予算配分
B. スタッフの技術力
C. ユーザーの受け入れ
D. パスワード要件
回答を見る
正解: C
質問 #26
パスワードの自動同期を導入する主な利点は、以下のとおりである:
A. 管理業務全体の負担を軽減する。
B. 多階層システム間のセキュリティを高める。
C. パスワードの変更頻度を減らすことができる。
D. 二要素認証の必要性を減らす。
回答を見る
正解: A
質問 #27
法医学的分析のために証拠を収集する際には、以下のことが重要である:
A.
A. 有資格者の配置を確保すること。
B. IT部門にイメージコピーを依頼する。
C. ネットワークから切断し、影響を受けるデバイスを隔離する。
D. 法医学的分析が開始される前に、法執行関係者が立ち会うこと。
回答を見る
正解: D
質問 #28
リスクマネジメント・プログラムを実施する主な理由はどれか。
A. 組織はリスクを排除できる
B. 経営陣によるデューデリジェンスの必要な部分である。
C. 監査および規制上の要件を満たす
D. 投資収益率(ROD)の向上を支援する。
回答を見る
正解: B
質問 #29
インシデント対応プロセスのどの段階で、対応手順に対する是正措置を検討し、実施すべきか。
A. 撲滅
B. レビュー
C. 封じ込め
D. 識別
回答を見る
正解: A
質問 #30
外部サービス・プロバイダーが組織のセキュリティ・ポリシーに準拠していることを確認する最善の方法は、以下のとおりである:
A. サービスプロバイダをセキュリティポリシーに明示的に含める。
B. 提供者がすべての方針を読んだことを示す確認書を書面で受け取る。
C. C
D. サービス提供者の定期的なレビューを実施する。
回答を見る
正解: B
質問 #31
自国を拠点とする電子商取引に携わる企業が、セキュリティ法の厳しい他国に新オフィスを開設した。このようなシナリオでは、全体的なセキュリティ戦略は以下のようなものでなければならない:
A. リスクアセスメントの結果。
B. 国際的なセキュリティ基準
C. 最も厳しい要件
D. セキュリティ組織の構造
回答を見る
正解: D
質問 #32
セキュリティ意識向上プログラムの進捗状況について、経営陣に最も有用な情報を提供する指標はどれか。
A. 組織のセキュリティ・ポリシーのダウンロード数の増加
B. セキュリティ・インシデントの報告の増加
C. 各事業部門におけるユーザー意識向上トレーニングの修了率
D. セキュリティインシデントの減少
回答を見る
正解: C
質問 #33
データセンターのメインエントランスの物理的セキュリティソリューションとして、最も適切なものはどれか。
A. マントラップ
B. バイオメトリックロック
C. 閉回路テレビ(CCTV)
D. 警備員
回答を見る
正解: D
質問 #34
ある情報セキュリティマネジャーが、最近公表された脅威に対処するために、新しいセキュリ ティ対策への投資を推奨している。次のうち、ビジネスケースに含めることが最も重要なものはどれでしょうか。
A. 脅威が顕在化した場合のビジネスへの影響
B. 安全保障予算における未使用資金の利用可能性
C. 信頼できる情報源からの脅威情報
D. 新しいイニシアティブと承認された事業戦略との整合性
回答を見る
正解: B
質問 #35
組織において、情報システム・セキュリティは以下の責任を負う:
A. すべての職員。
B. 情報システム担当者
C. 情報システム・セキュリティ担当者
D. 機能担当者。
回答を見る
正解: C
質問 #36
情報セキュリティマネジャーが経営幹部に定期的に報告することのうち、最も重要なものはどれか。
A. 侵入テストの結果
B. 監査報告書
C. 未解決リスクの影響
D. 脅威分析レポート
回答を見る
正解: D
質問 #37
受注処理システムをテスト環境から本番環境に移行する際、最も重要な管理者のサインオフはどれか。
A. ユーザー
B. セキュリティ
C. オペレーション
D. データベース
回答を見る
正解: A
質問 #38
次のうち、情報の完全性に対処するために第一に行われるのはどれか?
A. 適切な管理権限の割り当て
B. インターネット・セキュリティ・アプリケーションの実装
C. 二重化サーバーシステムの実装
D. 電子メールの暗号化
回答を見る
正解: D
質問 #39
次のリスクのうち、定量的リスク評価手法を使って評価するのが最も適切なものはどれか。
A. 盗まれた顧客データ
B. 停電
C. ハッカーによって改ざんされたウェブサイト
D. ソフトウェア開発チームの損失
回答を見る
正解: B
質問 #40
サーバーに適用されたすべてのセキュリティパッチが適切に文書化されていることを確認するための最良の方法は何ですか。
A. 変更管理要求をオペレーティングシステム(OS)のパッチログにトレースする。
B. OSのパッチ・ログをOSベンダーのアップデート・ドキュメントにトレースする。
C. OSのパッチログから変更管理要求をトレースする
D. 主要サーバーの変更管理文書をレビューする。
回答を見る
正解: D
質問 #41
詳細な事業継続計画は、第一義的に以下に基づくべきである:
A. さまざまな選択肢の検討。
B. 最も安価な解決策。
C. あらゆる用途をカバーする戦略
D. 上級管理職によって検証された博士号取得者の戦略。
回答を見る
正解: C
質問 #42
新しい重要なビジネスアプリケーションが本番稼動するとき、関連する事業影響分析(BIA)と事業継続/災害復旧計画を更新する主な理由は、次のとおりである:
A. これはセキュリティポリシーの要件です。
B. ソフトウェアのライセンスは、将来予告なしに失効する可能性がある。
C. 資産目録を維持しなければならない。
D. サービス・レベル契約が満たされない可能性がある。
回答を見る
正解: C
質問 #43
情報セキュリティ・プログラムは、以下のようなスポンサーがつくべきである:
A. インフラ管理。
B. 監査部門
C. 主要なビジネス・プロセス・オーナー
D. 情報セキュリティ管理
回答を見る
正解: B
質問 #44
ある情報セキュリティ管理者が、BYOD(Bring Your Own Device)プログラムを実施しようとしています。ユーザがセキュリティ標準を遵守することを最も確実にするのは、次のうちどれでしょうか。
A. ネットワーク上のユーザーの行動を監視する
B. イントラネットのランディングページで基準を公開する。
C. 受諾可能な使用ポリシーの確立
D. デバイス管理ソリューションを導入する
回答を見る
正解: A
質問 #45
情報セキュリティ・ポリシーが確実に守られるようにする最善の方法は、次のとおりである:
A. 印刷物を全従業員に配布する。
B. コンプライアンスを定期的に見直す。
C. コンプライアンス違反に対するエスカレートする罰則を含む。
D. 政策の乱用を報告するための匿名ホットラインを設置する。
回答を見る
正解: B
質問 #46
ビジネスインパクト評価を定期的に実施する主な理由は、次のうちどれですか?
A. 前回の事業影響評価の結果を改善する
B. 新たなリスクに基づく復旧目標の更新
C. 回復時間の短縮
D. 事業継続ポリシーのニーズを満たす
回答を見る
正解: A
質問 #47
ある組織が実施したリスクアセスメント調査で、ローカルエリアネットワーク(LAN)のセグメンテーションが行われていないことが指摘された。ネットワークのセグメンテーションは、次のうちどれによる潜在的な影響を減らすことができるか?
A. サービス拒否(DoS)攻撃
B. トラフィックのスニッフィング
C. ウイルス感染
D. IPアドレス・スプーフィング
回答を見る
正解: A
質問 #48
パスワードの再設定が必要な正規の個人を装って、不正な個人がコンピューティング・リソースにアクセスする可能性を最も減らすことができるのは、次のうちどれでしょう?
A. パスワードリセットのレビューの実施
B. セキュリティ意識向上プログラムの実施
C. パスワードの変更頻度を増やす
D. 自動パスワード構文チェックの実装
回答を見る
正解: B
質問 #49
高度に規制された業界における情報セキュリティプロジェクトのビジネスケースに含めるべき情報で、最も重要なものはどれか。
A. コンプライアンス・リスク評価
B. 重要な監査結果
C. 業界比較分析
D. セキュリティ・インシデントの報告件数
回答を見る
正解: B
質問 #50
ウェブ・ブラウザでセキュア・ソケット・レイヤー(SSL)を使用する際に、通常欠けている機能はどれか。
A. 証明書ベースのウェブクライアント認証
B. 証明書に基づくウェブ・サーバの認証
C. クライアントとウェブサーバー間のデータ機密性
D. 複数の暗号化アルゴリズム
回答を見る
正解: B
質問 #51
イントラネット・サーバーは一般に、以下の場所に設置する:
A. 内部ネットワーク。
B. ファイアウォール・サーバー
C. 外部ルーター
D. プライマリドメインコントローラ
回答を見る
正解: D
質問 #52
次のうち、事業継続計画の発動が最も必要となりそうなものはどれか。
A. データセンターで発見された無許可の訪問者
B. 電子メールサーバーに対する分散型サービス拒否攻撃
C. スタッフの職務遂行を妨げる伝染病
D. 個人情報を人質に取るハッカー
回答を見る
正解: B
質問 #53
十分に管理された環境において、セキュリティ・ソフトウエアの弱点の導入につながる可能性が最も高い活動はどれか。
A. パッチの適用
B. アクセスルールの変更
C. ハードウェアのアップグレード
D. ファイルのバックアップ
回答を見る
正解: D
質問 #54
送信者の秘密鍵によって暗号化され、受信者の公開鍵によって再び暗号化されたメッセージ*は、次のことを実現する:
A. 認証と承認。
B. 機密性と完全性。
C. 機密保持と否認防止。
D. 認証と否認防止。
回答を見る
正解: A
質問 #55
サービス中断の可能性を減らすため、ある企業は複数のインターネット・サービス・プロバイダー(ISP)と契約を結ぶ。その際、最も重要な項目はどれか。
A. サービス・レベル・アグリーメント(SLA)
B. 監査権条項
C. 侵入検知システム(IDS)サービス
D. スパムフィルタリングサービス
回答を見る
正解: D
質問 #56
大規模な組織では、復旧時間目標(RTO)を定義することは、第一義的には以下の責任である:
A. ITマネージャー。
B. 情報セキュリティマネージャー
C. 事業部長
D. シニアマネージャー
回答を見る
正解: D
質問 #57
セキュリティ管理者が最も懸念する状況は、次のうちどれですか?本番サーバで監査ログが有効になっていない。
A. B
B. C
C. D
回答を見る
正解: A
質問 #58
セキュリティ意識の第一の目的は、以下のとおりである:
A. セキュリティポリシーを確実に理解する。
B. 従業員の行動に影響を与える。
C. 法的規制の遵守
D. 不適合に対する措置を通知する。
回答を見る
正解: C
質問 #59
知的財産の保護を望む組織にとって、最も適切なアプローチはどれか。
A. 知的財産ポリシーに関する説明会の実施 D
B. 全従業員に秘密保持契約書への署名を義務付ける。
C. C
回答を見る
正解: D
質問 #60
復旧時間目標(RTO)は、次のどのマイルストーンで達成されるか?
A. 災害宣言
B. バックアップのリカバリ
C. システムの復旧
D. 通常処理に戻る
回答を見る
正解: C
質問 #61
情報セキュリティ投資に関する経営判断は、それらに基づいて行われることが最も効果的である:
A. セキュリティ・イベントの履歴から決定される年間損失予想(ALE)。
B. リスク分析を経営陣が正式に受け入れること。
C. 一貫した定期的なリスク評価の報告。
D. 脅威と脆弱性を特定し、分析するプロセス。
回答を見る
正解: B
質問 #62
解雇時のデータ保護を確実にする最善の方法とは?
A. IDバッジとカードキーの回収
B. すべてのパソコン機器を回収する。
C. 従業員のフォルダをすべて消去する。
D. すべての論理アクセスが削除されていることを確認する
回答を見る
正解: B
質問 #63
情報セキュリティ基本方針を策定することは重要である:
A. 保護が必要な重要な情報資源
B. 組織全体のセキュリティポリシー。
C. 導入されるべき、許容できる最低限のセキュリティ。
D. 必要な物理的および論理的アクセス制御
回答を見る
正解: A
質問 #64
情報セキュリティプログラムの成功にとって最も重要なものはどれか。
A. セキュリティ」意識向上トレーニング
B. 達成可能な目標と目的
C. 上級管理職のスポンサーシップ
D. 十分な立ち上げ予算と人員配置
回答を見る
正解: B
質問 #65
正式な情報セキュリティ・プログラムを持たない組織が、情報セキュリティのベスト・プラクティスを実施することを決定した場合、FIRSTを実施すべきである:
A. セキュリティ戦略を策定するために外部のコンサルタントを招く。
B. ベストプラクティスに基づいて予算を配分する。
C. 類似の組織をベンチマークする。
D. 高水準のビジネスセキュリティ要件を定義する。
回答を見る
正解: A
質問 #66
電子証明書のライフサイクルを管理することは、(n)の役割である:
A. システム管理者。
B. セキュリティ管理者
C. システム開発者
D. 独立した信頼できる情報源
回答を見る
正解: C
質問 #67
あるデータホスティング組織のデータセンターは、地理的に分散した多数の顧客のサーバ、アプリケー ション、およびデータを収容している。この組織の物理的なアクセス制御ポリシーを策定するための最良のアプローチはどれか。
A. シングルサインオンまたは統合アクセスの設計
B. リスクアセスメントを実施し、セキュリティリスクと緩和策を判断する
C. 各システムおよびアプリケーションのアクセス制御要件を策定する。
D. 顧客のセキュリティポリシーを確認する
回答を見る
正解: B

送信後に回答を表示する

質問の回答を得るには、電子メールと WhatsApp を送信してください。

注: 正しい試験結果を得ることができるように、電子メール ID と WhatsApp が有効であることを確認してください。

Eメール:
WhatsApp/電話番号:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.