すべての情報を見逃したくないですか?

認定試験に合格するためのヒント

最新の試験ニュースと割引情報

当社の専門家による厳選最新情報

はい、ニュースを送ってください

CISM試験問題集・学習教材、情報セキュリティ管理士|SPOTO

SPOTOの総合学習教材と高品質の模擬試験でCISM認定試験の準備をしましょう。当社の試験問題は、サイバーセキュリティガバナンス、リスク管理、インシデント対応、コンプライアンスなど、さまざまなトピックをカバーしています。無料のサンプル問題にアクセスして準備態勢を確認し、豊富な試験問題集で重要な概念を深く理解してください。SPOTOの模擬試験で、実際の試験環境をシミュレートし、受験スキルを微調整してください。詳細な解答と解説が付いた豊富な試験問題集で、知識を強化しましょう。試験問題の練習、サンプルシナリオの確認、試験戦略の練り直しなど、SPOTOのオンライン試験シミュレータはCISM試験準備の成功に欠かせないツールです。
他のオンライン試験を受ける

質問 #1
インシデント対応計画の最初のステップは次のとおりである:
A. 適切な人物に通知する。
B. 被害を最小限に抑えるため、事故の影響を封じ込める。
C. 組織的な攻撃に対する対応戦略を策定する。
D. 事件を検証する。
回答を見る
正解: C
質問 #2
アウトソーシング・サービス・プロバイダーが組織の情報セキュリティ・ポリシーに準拠していることを確認する最も効果的な方法は、次のとおりである:
A. サービスレベル監視
B. ペネトレーションテスト
C. 定期的な監査
D. セキュリティ意識向上トレーニング
回答を見る
正解: B
質問 #3
ビジネスリスクを特定し、優先順位をつけることで、プロジェクトマネージャーは以下のことが可能になる:
A. 実施のマイルストーンを設定する。
B. 全体のスラックタイムを減らす。
C. 最も重要な分野に取り組む。
D. クリティカルパスの完了を早める。
回答を見る
正解: D
質問 #4
情報セキュリティリスク分析の成果物として最も有用なものはどれか。
A. ビジネスインパクト分析(BIA)報告書
B. リスクを軽減するための行動項目のリスト
C. プロセス・オーナーへのリスクの割り当て
D. 組織リスクの定量化
回答を見る
正解: D
質問 #5
完全なITリスクアセスメントが完了した後、誰が、どの緩和策を実施すべきかを決定することができますか?
A. 上級管理職
B. ビジネス・マネージャー
C. IT監査マネージャー
D. 情報セキュリティ責任者(ISO)
回答を見る
正解: D
質問 #6
インターネット上で送信される情報の機密性が最も保証されるのはどれか。
A. 仮想プライベート・ネットワーク(VPN)
B. ファイアウォールとルーター
C. バイオメトリクス認証
D. 二要素認証
回答を見る
正解: C
質問 #7
ビジネスインパクト分析(BIA)は、それを算出するための最良のツールである:
A. 総所有コスト。
B. 復旧の優先順位
C. 年率換算損失見込み(ALE)。
D. 残留リスク
回答を見る
正解: B
質問 #8
インシデント管理チームの設置を正当化するために、情報セキュリティマネジャーが最も効果的と考えるのは次のうちどれか。
A. 過去のインシデントがビジネスに与えた影響の評価
B. 事故原因の独立した検証の必要性
C. セキュリティ・レベルの絶え間ない改善の必要性
D. インシデント・インパクトの低減がビジネスにもたらす可能性のある利益
回答を見る
正解: C
質問 #9
リスク管理の最良の戦略は次のとおりである:
A. リスクと組織目標のバランスを取る。
B. リスクを許容レベルまで低減する。
C. 政策立案が組織リスクを適切に考慮するようにする。
D. すべての未然リスクを経営陣が受け入れるようにする。
回答を見る
正解: B
質問 #10
次のリスクのうち、定性的リスク評価手法を使って評価するのが最も適切なものはどれか。
A. 購入したソフトウェアの盗難
B. 24時間続く停電
C. 顧客信頼度の永続的低下
D. ウイルス攻撃による電子メールの一時的な消失
回答を見る
正解: C
質問 #11
ある会社のメールサーバーが、悪用される可能性のある匿名ファイル転送プロトコル(FTP)アクセスを許可している。是正措置の必要性を判断するために、情報セキュリティマネジャーはどのようなプロセスを導入すべきか?侵入テスト
B. セキュリティ・ベースラインのレビュー
C. リスク評価
D. ビジネスインパクト分析(BIA)
回答を見る
正解: A
質問 #12
特定されたリスクを軽減するための改善努力の継続的な追跡は、次のうちどれを使用するのが最も効果的か。
A. ツリーダイアグラム
B. ベン図
C. ヒートチャート
D. 棒グラフ
回答を見る
正解: B
質問 #13
ビジネスにとって重要であるため、組織は会社の方針から逸脱した技術的解決策を迅速に導入したがる。情報セキュリティマネジャーは、次のことを行うべきである:
A. リスクアセスメントを実施し、その結果に基づいて許可または不許可を決定する。
B. リスクアセスメントを推奨し、残存リスクが許容される場合にのみ実施する。
C. 会社のポリシーに反するため、導入に反対する。
D. 現行ポリシーの改定を推奨する。
回答を見る
正解: A
質問 #14
組織サーバーのセキュリティレビュー中に、機密人事(HR)データを含むファイルサーバーが、すべてのユーザーIDからアクセス可能であることが判明した。最初のステップとして、リアル 289 イサカ CISM 試験のセキュリティ管理者は次のことを行うべきである:
A. 証拠としてサンプルファイルをコピーする。
B. データが入っているフォルダのアクセス権を削除する。
C. データ所有者にこの状況を報告する。
D. 人事チームに、ファイルのアクセス権を適切に管理するためのトレーニングを行う。
回答を見る
正解: B
質問 #15
すべてのリスク管理活動は、第一義的には、以下のような影響を軽減することを目的としている:
A. セキュリティマネージャーによって定義されたレベル。
B. 組織のリスク許容度に基づく許容レベル。
C. 規制要件に合致した最低レベル。
D. 可能な最低限のレベル。
回答を見る
正解: C
質問 #16
事故後レビューの最も重要な目的は、以下のとおりである:
A. プロセスを改善するための教訓を得る。
B. 継続的改善のためのプロセスを開発する。
C. セキュリティプログラム予算のビジネスケースを作成する。
D. 新しいインシデント管理ツールを特定するリアル 291 Isaca CISM 試験
回答を見る
正解: C
質問 #17
企業対顧客(B2C)金融ウェブ・アプリケーションにおける伝送の機密性を確保するための最良のプロトコルは、次のとおりである:
A. セキュア・ソケット・レイヤー(SSL)。
B. Secure Shell (SSH)。
C. IPセキュリティ(IPSec)。
D. Secure/Multipurpose Internet Mail Extensions (S/MIME )。
回答を見る
正解: C
質問 #18
最も効果的なアクセス制御はどれか。
A. 集中型
B. 役割ベース
C. 分散型
D. 裁量
回答を見る
正解: A
質問 #19
情報資産の重要性と機密性は、以下に基づいて決定される: C.
A. 脅威の評価
B. 脆弱性評価。リソース依存性評価。
D. 影響評価
回答を見る
正解: B
質問 #20
誰が、情報セキュリティガバナンスフレームワークの実施計画を BEST 承認できるか。C.
A. 内部監査人
B. 情報セキュリティ管理 運営委員会
D. インフラ管理
回答を見る
正解: A
質問 #21
非武装地帯(DMZ)内に置くべきデバイスはどれか。
B.
A. ネットワーク・スイッチ ウェブ・サーバー
C. データベースサーバー
D. ファイル/プリントサーバー
回答を見る
正解: C
質問 #22
セキュリティ脆弱性が最初に公表されてからパッチが提供されるまでの間にはタイムラグがある。この期間のリスクを軽減するために、最初に実施すべきことはどれか。
A. 脆弱なシステムを特定し、それを補う対策を施す。
B. 脆弱なシステムの使用を最小限に抑える
C. システム利用者に脆弱性を伝える
D. 侵入検知システム(IDS)のシグネチャデータベースを更新する。
回答を見る
正解: B
質問 #23
顧客のクレジットカード・データベースがハッカーに侵入された。この攻撃に対処するための最初のステップは次のとおりです:
A. 事故を確認する。B
C. 封じ込め開始
D. 警察当局に通報する。
回答を見る
正解: D
質問 #24
バイオメトリクスデバイスで管理された無人サーバールームへの物理的アクセスコンプライアンスを合理的に保証する上で、最も効果的な管理策はどれか。 C.
A. アクセス制御リストの定期的な見直し
B. 警備員による訪問者のエスコート 入口での訪問者登録記録
D. 生体認証と暗証番号の組み合わせ
回答を見る
正解: A
質問 #25
セキュリティ管理策を実施する場合、情報セキュリティ管理者は、第一に、以下の点に重点を置かなければならない:
A. 運航上の影響を最小限に抑える。
B. すべての脆弱性を排除する。
C. 類似の組織による利用
D. 第三者による認証
回答を見る
正解: D
質問 #26
あるプロジェクトマネージャが開発者向けポータルを開発しており、セキュリティマネージャに、社内のスタッフや社外のコンサルタントが組織のローカルエリアネットワーク(LAN)外にアクセスできるように、パブリックIPアドレスを割り当てるよう依頼している。セキュリティマネジャーはまず何をすべきでしょうか?
A. 開発者ポータルのビジネス要件を理解する
B. 開発者ポータルの脆弱性評価を実施する
C. 侵入検知システム(IDS)の導入
D. サーバーへの外部アクセスを許可する前に、外部のコンサルタントから署名入りの秘密保持契約書(NDA)を入手する。
回答を見る
正解: D
質問 #27
ITリスクマネジメントプロセスの指標として最も適切なものはどれか。
A. リスク管理行動計画の数
B. 重要な資産のうち、予算措置が講じられている資産の割合。
C. 未解決のリスク・エクスポージャーの割合
D. 特定されたセキュリティインシデントの数
回答を見る
正解: B
質問 #28
次の災害復旧テスト手法のうち、計画の有効性を判断する最も費用対効果の高い方法はどれか。
A. 準備テスト B
C. フル稼働試験
D. 実際のサービス停止
回答を見る
正解: B
質問 #29
ビジネスプロセスオーナーによって管理されているアプリケーションレベルのセキュリティ管理が不十分であることが判明した場合、現在の実務を改善できるベストはどれか。
A. セキュリティ管理の一元化
B. コンプライアンス違反に対する制裁の実施
C. IT管理者によるポリシーの実施 定期的なコンプライアンスレビュー
回答を見る
正解: A
質問 #30
販売時点情報管理(POS)レジで取得した顧客のクレジットカード情報を保護する際に、最も重要な考慮事項は次のうちどれですか?
A. 認証
B. 硬化
C. 暗号化
D. 否認防止
回答を見る
正解: C
質問 #31
ビジネス・アプリケーションの回復時点目標(RPO)を決定する最良の立場にあるのは誰か?
A. 事業継続コーディネーター
B. 最高業務責任者(COO)
C. 情報セキュリティ管理者
D. 内部監査
回答を見る
正解: C
質問 #32
統計的異常ベースの侵入検知システム(スラットIDS)がシグネチャベースのIDSよりもあまり一般的に使用されていない最も重要な理由は、スタットIDSにある:
A. シグネチャベースのIDSよりもオーバーヘッドが大きい。
B. システム変数の小さな変更によって誤検出を引き起こす。
C. ユーザーやシステムのさまざまなアクションによって、誤ったアラームが発生する。
D. 新しいタイプの攻撃を検知できない。
回答を見る
正解: C
質問 #33
オペレーティング・システムのセキュリティ上の弱点を防ぐのに最も効果的なのはどれか。
B.
A. パッチ管理 変更管理
C. セキュリティ・ベースライン
D. 構成管理
回答を見る
正解: C
質問 #34
企業ネットワーク上でセキュリティ侵害がどのように発生したかを判断するために、セキュリティ管理者は様々なデバイスのログをReal 285 Isaca CISM Examで調べます。これらのログの相関とレビューを最も容易にするのは、次のうちどれですか。
A. データベースサーバー
B. ドメインネームサーバー(DNS)
C. タイムサーバー
D. プロキシサーバー
回答を見る
正解: B
質問 #35
組織の営業部門のみが使用する、中央データベースに保存された顧客データの最も適切な所有者は、次のようになる:
A. 営業部門。
B. データベース管理者D
C. 最高情報責任者(CIO)。
D. 営業部長。
回答を見る
正解: D

送信後に回答を表示する

質問の回答を得るには、電子メールと WhatsApp を送信してください。

注: 正しい試験結果を得ることができるように、電子メール ID と WhatsApp が有効であることを確認してください。

Eメール:
WhatsApp/電話番号: