すべての情報を見逃したくないですか?

認定試験に合格するためのヒント

最新の試験ニュースと割引情報

当社の専門家による厳選最新情報

はい、ニュースを送ってください

CISM試験問題集2024更新:認定情報セキュリティ管理者試験対策|SPOTO

SPOTOの最新の2024試験問題集を使って、CISM試験に合格する準備をしましょう。弊社の包括的な模擬試験は情報リスク管理、ガバナンス、インシデント管理、プログラム開発と管理を含むすべての試験分野をカバーしています。無料サンプル問題にアクセスして知識を確認し、豊富な試験問題集で徹底的な復習をしましょう。SPOTOの模擬試験で、実際の試験シナリオをシミュレートし、受験スキルを磨きましょう。詳細な解答と解説が掲載された厳選された試験問題集で、重要な概念の理解を深めましょう。試験問題の練習、サンプルシナリオの確認、試験戦略の練磨など、SPOTOのオンライン試験シミュレータは、効果的なCISM試験準備のための究極のツールです。
他のオンライン試験を受ける

質問 #1
セキュリティインシデントが確認されたら、どのような作業を行うべきか。
A. 事件を特定する。
B. 事件を封じ込める。
C. インシデントの根本原因を特定する。
D. 脆弱性評価を実施する。
回答を見る
正解: B
質問 #2
次のリカバリ戦略のうち、最も失敗の確率が高いのはどれか?
A. ホットサイト
B. 冗長サイト
C. 相互協定
D. コールドサイト
回答を見る
正解: C
質問 #3
給与計算業務をアウトソーシングしているある組織が、ポリシー要件に従ってサードパーティのセキュリティ管理を独自に評価しました。契約に盛り込む要件として、最も有用なものはどれか。
A. 監査権
B. 秘密保持契約
C. 適切なファイアウォールの実装
D. コンプライアンスを監視する専任のセキュリティ管理者
回答を見る
正解: A
質問 #4
ある組織が、さまざまな部門の500人の従業員が使用する統合基幹業務(ERP)システムを導入した。次のアクセス制御アプローチのうち、最も適切なものはどれか。
A. ルールベース
B. 必須
C. 裁量
D. 役割ベース
回答を見る
正解: D
質問 #5
ある組織が競合他社の買収を検討している。競合他社のセキュリティ態勢を判断するために、組織の情報セキュリティマネジャーがとるべき最善の行動は次のとおりである:
A. 競合他社のセキュリティポリシーを評価する。
B. 競技者の主要な技術的コントロールを評価する。
C. 競合他社への侵入テストを実施する。
D. 競合他社のセキュリティギャップ分析を行う。
回答を見る
正解: A
質問 #6
新しい重要なビジネスアプリケーションが本番稼動するとき、関連する事業影響分析(BIA)と事業継続/災害復旧計画を更新する主な理由は、次のとおりである:
A. これはセキュリティポリシーの要件です。
B. ソフトウェアのライセンスは、将来予告なしに失効する可能性がある。
C. 資産目録を維持しなければならない。
D. サービス・レベル契約が満たされない可能性がある。
回答を見る
正解: D
質問 #7
サードパーティのサービス・プロバイダーが取り扱うデータの機密保持レベルに関するサービス・レベル合意(SLA)を定義する場合、準拠の最良の指標は以下の通りである:
A. アクセスコントロールマトリックス
B. 暗号化強度。
C. 認証メカニズム。
D. データリポジトリ
回答を見る
正解: A
質問 #8
情報セキュリティ対策がビジネス戦略と整合していることを示す最も適切な 証拠はどれか。
A. 情報セキュリティプログラムは、事業のリスク許容度の範囲内でリスクを管理する。
B. 情報セキュリティチームは、経営幹部に主要業績評価指標(KPI)を提供できる。
C. 経営幹部が情報セキュリティ方針を支持する。
D. 情報セキュリティの取り組みは、ビジネスプロセスと直接関連している。
回答を見る
正解: D
質問 #9
部署間を移動する従業員がいる組織で、アクセス制御の最も良いタイプはどれか。
A. 必須
B. 役割ベース
C. アイデンティティ
D. 裁量
回答を見る
正解: C
質問 #10
コンピュータインシデント対応チームが、さまざまな情報セキュリティシナリオに対応するための準備として、最も適切なものはどれか。
A. 卓上演習
B. フォレンジック認定
C. 侵入テスト
D. 災害復旧訓練
回答を見る
正解: A
質問 #11
情報セキュリティ運営委員会のメンバとして最も重要な人物はどれか。
A. 最高情報責任者の直属の部下
B. ITマネジメントと主要ビジネス・プロセス・オーナー
C. エンドユーザーとIT専門家の断面
D. 内部監査および企業法務部門
回答を見る
正解: B
質問 #12
アウトソーシング・プロバイダーに依頼する前に、情報セキュリティ管理者は、組織のデータ分類要件を確認する必要がある:
A. 提供者自身の分類に適合していること。
B. はプロバイダーに伝えられる。
C. アウトソーサーのそれを上回る。
D. は契約書に記載されている。
回答を見る
正解: D
質問 #13
コンピュータ・セキュリティ・インシデントに巻き込まれたデスクトップ・コンピュータは、以下の方法で証拠として保全されるべきである:
A. コンピューターをすべての電源から切り離す。
B. 管理者以外のすべてのローカルユーザーアカウントを無効にする。
C. ローカルファイルを暗号化し、正確なコピーを安全なサーバーにアップロードする。
D. オペレーティングシステム(OS)を使用しているすべてのファイルを、ライトワンスメディアにコピーする。
回答を見る
正解: A
質問 #14
ウイルス対策ソフトを選ぶ際、最も重要な基準はどれですか?
A. 製品の市場シェアと年換算コスト
B. 侵入検知システム(IDS)ソフトウェアおよびファイアウォールとのインターフェース能力
C. 新型ウイルスに対する警告通知と影響評価
D. メンテナンスの容易さと更新頻度
回答を見る
正解: D
質問 #15
インシデント対応計画をテストすることの最も有益な結果はどれか。
A. テスト計画結果の文書化
B. テスト結果を反映したプランの強化
C. インシデントレスポンスの改善
D. 上級管理職へのエスカレーションを含む対応
回答を見る
正解: C
質問 #16
次の災害復旧テスト手法のうち、計画の有効性を判断する最も費用対効果の高い方法はどれか。
A. 準備テスト
B. ペーパーテスト
C. フル稼働試験
D. 実際のサービス停止
回答を見る
正解: A
質問 #17
ある組織が、ビジネスアプリケーション用に強化されたパスワードポリシーを導入した。ビジネスユニットのマネジメントのサポートを得るための最善のアプローチは、以下のとおりである:
A. 変更のコストと便益の分析を提示する。
B. セキュリティインシデントが発生した場合のリスクと影響について論じる。
C. 業界ベンチマークの結果を事業部門に提示する。
D. 情報セキュリティへの好影響について詳しく述べる。
回答を見る
正解: B
質問 #18
次のうち、セキュリティ管理者が最も懸念する状況はどれか。
A. 本番サーバーで監査ログが有効になっていない
B. 終了したシステムアナリストのログオンIDがシステム上に残っている。
C. ヘルプデスクは、ユーザーがフィッシングメールを受け取ったという結果を数多く受け取っている。
D. トロイの木馬がシステム管理者のノートパソコンにインストールされていることが判明した。
回答を見る
正解: D
質問 #19
情報セキュリティ戦略に対する継続的な支持を確保するために、上級管理職に対して 次のうちどれを提示するのが最も効果的か。
A. 過去のセキュリティ事件
B. セキュリティ投資に対するリターン
C. 完了したビジネスインパクト分析(BIA)
D. 現在の脆弱性メトリクス
回答を見る
正解: B
質問 #20
情報セキュリティ対策がもはや適切でないことを示す最も適切なものはどれか。
A. 利用者が定期的に制御を回避または無視する。
B. コントロールは特定のビジネス機能をサポートしていない。
C. ITマネジメントがコントロールをサポートしていない。
D. コントロールに従うことは、従わないことよりもビジネスにとって大きなコストとなる。
回答を見る
正解: B
質問 #21
よく実施された意識向上プログラムの成果として、最も重要なものはどれか。
A. 取締役会はリスク管理の責任を負う。
B. セキュリティ・インシデントの報告件数は着実に減少している。
C. ソーシャル・エンジニアリング攻撃の成功件数が減る。
D. インシデントを解決するためのヘルプデスクの応答時間が改善された。
回答を見る
正解: B
質問 #22
セキュリティ意識を高めるための最も効果的で積極的な方法はどれか。
A. コンプライアンスに対する競争と報酬
B. パスワードを3回間違えるとロックアウト
C. パスワード形式の厳格な実施
D. コンプライアンス違反に対する懲戒処分
回答を見る
正解: A
質問 #23
ある組織のITシステムに侵入された可能性がプロジェクトマネージャーから報告された。インシデント対応マネージャーが最初にすべきことは何でしょうか?
A. システムのポートスキャンを実行する
B. ログオンIDを無効にする
C. システムログを調査する
D. インシデントを検証する
回答を見る
正解: D
質問 #24
最近の監査で、組織のポリシーに基づくセキュリティ管理が、特定のアプリケーションに対して実施されていないことが判明した。この問題に対処するために、情報セキュリティマネジャーは次に何をすべきか?
A. データ所有者と問題を話し合い、例外の理由を特定する。
B. データ管理者と問題を話し合い、例外の理由を特定する。
C. 上層部に問題を報告し、問題を解決するための資金を要求する。
D. 問題が解決するまで、アプリケーションへのアクセスを拒否する。
回答を見る
正解: A
質問 #25
企業ネットワークでセキュリティ侵害がどのように発生したかを判断するために、セキュリティ管理者はさまざまなデバイスのログを調べます。これらのログの相関とレビューを容易にする最善のものはどれか。
A. データベースサーバー
B. ドメインネームサーバー(DNS)
C. タイムサーバー
D. プロキシサーバー
回答を見る
正解: C
質問 #26
アプリケーションシステムには顧客の機密データが保存されており、暗号化は現実的ではない。データの漏洩を防ぐための最善の対策は、以下のとおりです:
A. アクセスログを定期的に確認すること。
B. シングルサインオン
C. 守秘義務契約(NDA)。
D. 多要素アクセス制御。
回答を見る
正解: D
質問 #27
情報セキュリティ管理者が上級管理職に対して情報セキュリティプログラムの現状報告を行う場合、主な焦点は次のとおりである:
A. 重要なリスク指標
B. キーコントロールの評価
C. 主要業績評価指標(KPI)。
D. 正味現在価値(NPV)。
回答を見る
正解: C
質問 #28
組織の情報セキュリティプログラムとビジネス目標との間の戦略的整合性を示す最も適切な指標はどれか。
A. ビジネスインパクト分析(BIA)
B. セキュリティ監査報告書
C. バランススコアカード
D. 主要リスク指標(KRI)
回答を見る
正解: C
質問 #29
次の記述のうち、以前は失敗していたセキュリティプログラムが成功しつつあることを示すものはどれか。
A. 脅威の数は減った。
B. セキュリティ意識向上プログラムに参加する従業員や関係者が増えた。
C. 脆弱性の偽陽性の数は減少している。
D. 経営陣の注意と予算は現在、リスク軽減に集中している。
回答を見る
正解: A
質問 #30
情報セキュリティ・インシデントを効果的かつタイムリーに管理するための最も効果的な方法は何か。
A. 主要業績評価指標(KPI)の設定と測定
B. インシデント対応手順をスタッフに伝える
C. インシデント対応手順を定期的にテストする。
D. 経営幹部のコミットメントを得る
回答を見る
正解: C
質問 #31
インシデント対応の優先順位を決定する上で、最も重要な要素は何か?
A. 影響を受けるシステムに関するサービスレベル合意(SLA
B. 事業への潜在的影響
C. 影響を受けたシステムの復旧時間
D. 専門技術スタッフの有無
回答を見る
正解: B
質問 #32
あるセキュリティチームが、毎年恒例の災害復旧テストを行っている。復旧後のテストでは、復旧センターのインターネット接続の帯域幅が不十分なため、システムの応答時間が著しく遅いことがわかりました。セキュリティマネジャーがとるべき行動として、最も適切なものはどれか。
A. ネットワーク帯域幅が増加するまでテストを停止する。
B. クリティカルとマークされたアプリケーションの数を減らす。
C. ビジネスリーダーによるレビューのため、欠陥を文書化する。
D. レスポンスが遅い分、リスク受容を追求する。
回答を見る
正解: C
質問 #33
次のモデルのうち、クラウドホスト環境に対する管理制御をクライアント組織に最も多く提供するものはどれか。
A. サービスとしてのストレージ(SaaS)
B. サービスとしてのプラットフォーム(PaaS)
C. サービスとしてのソフトウェア(SaaS)
D. サービスとしてのインフラストラクチャー(IaaS)
回答を見る
正解: D
質問 #34
情報セキュリティマネジャーが、一部の従業員がソーシャルメディアサイトで会社の機密事項について話し合っていることを知らされました。この状況への対応として最も適切なものはどれか。
A. ソーシャルメディアの利用要件を伝え、遵守状況を監視する。
B. ソーシャルメディアサイトへの職場アクセスをブロックし、従業員の利用を監視する。
C. ソーシャルメディアサイトでのプライバシールールの設定方法を従業員に教育する。
D. ソーシャルメディアサイトで会社関連の情報を探す。
回答を見る
正解: A
質問 #35
効果的なセキュリティ管理が組織に組み込まれていることを示す指標として、最も適切なものはどれか。
A. 毎月のサービスレベル統計によると、セキュリティ問題による影響は最小限である。
B. セキュリティ管理策を導入するコストは、資産の価値よりも低い。
C. セキュリティ標準に準拠しているシステムの割合。
D. 監査報告書には、セキュリティに関する重大な指摘事項は反映されていない。
回答を見る
正解: A
質問 #36
セキュリティの基本水準を確立する最善の方法は、文書化することである:
A. 組織が希望するセキュリティレベル。
B. 運営基準の枠組み
C. 希望するセキュリティ設定の範囲。
D. 受け入れ可能な設定の基準。
回答を見る
正解: B
質問 #37
ソーシャルメディアにおける社内業務情報の不用意な開示は、次のうちどれがBESTか?
A. ソーシャルメディア・ガイドラインの策定
B. ソーシャルメディアのリスクに関する利用者の教育
C. ソーシャルメディアサイトへのアクセス制限
D. データ損失防止(DLP)ソリューションの導入
回答を見る
正解: B
質問 #38
次のうちどれを見直すことが、資産分類プロセスへの最も大きなインプットになるだろうか?
A. リスク評価
B. 資産の再調達原価
C. データの感度
D. 遵守事項
回答を見る
正解: C
質問 #39
破壊的な出来事の影響を判断するために使用される活動は、次のうちどれですか?
A. 最大許容ダウンタイムの評価
B. 回復時間目標(RTO)分析
C. ビジネスインパクト分析(BIA)
D. インシデント影響分析
回答を見る
正解: D
質問 #40
個人用コンピュータ機器が盗難や紛失にあった場合のデータ損失を防ぐ仕組みとして、最も適切なものはどれか。
A. データの暗号化
B. デバイスへのリモートアクセス
C. データ漏洩防止(DLP)
D. パーソナルファイアウォール
回答を見る
正解: A
質問 #41
ある組織では、IT セキュリティに対する責任が明確に割り当てられ、実施され、IT セキュリティリスクと影響の分析が一貫して行われている。これは、情報セキュリティガバナンス成熟度モデルのどのレベルに相当するか。
A. 最適化
B. マネージド
C. 定義
D. 繰り返し可能
回答を見る
正解: B
質問 #42
セキュリティ侵害が情報セキュリティ管理者に報告された後、直ちに実施すべき行動はどれか。
A. 事件の確認
B. 影響を判断する
C. 影響を受ける利害関係者への通知
D. インシデントを隔離する
回答を見る
正解: A
質問 #43
セキュリティ意識向上プログラムの有効性について、経営陣に最も有用な情報を提供する指標はどれか。
A. 組織のセキュリティ・ポリシーのダウンロード数の増加
B. セキュリティ・インシデントの減少
C. セキュリティ・インシデントの報告件数の増加
D. フィッシング攻撃の減少
回答を見る
正解: B
質問 #44
新たなリスクの発生を迅速に特定するための最善の方法はどれか。
A. 定期的なリスク報告
B. リスク監視プロセス
C. 変更管理手順
D. インシデントモニタリング活動
回答を見る
正解: D
質問 #45
データ所有者が情報セキュリティプロセスの実施に責任を持つようにするための最良の方法はどれか。
A. 従業員の職務記述書にセキュリティ業務を含める。
B. プロジェクトチームのメンバーを含む。
C. セキュリティ組織へのジョブローテーションを提供する。
D. セキュリティ意識のトレーニングを増やす。
回答を見る
正解: D
質問 #46
情報セキュリティ管理のための資産評価の主な目的は、以下のとおりである:
A. リスク管理活動の優先順位付け
B. 最も重要性の低い資産を除外する。
C. 資産分類の基礎を提供する。
D. 各資産の価値を決定する
回答を見る
正解: D
質問 #47
データカストディアンの主な役割はどれか。
A. 情報の検証
B. 情報の処理
C. 情報の分類
D. 情報の保護
回答を見る
正解: D
質問 #48
特定のユーザーに対して、近々実施されるペネトレーションテストについて警告することを避ける主な理由は、次のうちどれですか?
A. 悪意のある第三者による悪用を防ぐ
B. 浸透の成功を助けるために
C. 検知能力と対応能力を評価する
D. テストの範囲と期間を縮小する
回答を見る
正解: C
質問 #49
災害時の事業復旧を成功させるために最も重要な要素はどれか。
A. 詳細な技術的復旧計画がオフサイトで維持されている。
B. ネットワークの冗長性は、別々のプロバイダーを通じて維持される。
C. ホットサイトの設備ニーズは定期的に再確認される。
D. 適切な申告基準が設定されている
回答を見る
正解: A
質問 #50
情報セキュリティマネジャーがセキュリティプログラム機能の能力を伝達できるようにするベストはどれか。
A. セキュリティ・アーキテクチャ図
B. セキュリティ成熟度評価
C. 脆弱性スキャンの結果
D. 主要リスク指標(KRI)
回答を見る
正解: D
質問 #51
情報セキュリティ戦略を承認する相手として、最も適切なのはどれか。
A. エグゼクティブ・リーダーシップ・チーム
B. 最高情報責任者
C. 情報セキュリティ管理委員会
D. 最高情報セキュリティ責任者
回答を見る
正解: A
質問 #52
経営幹部は、最近の業界における情報漏えい事件を受け、セキュリティ・ソリューションが自社の複数のグローバル・データセンターを適切に保護できないのではないかと懸念している。次に何をすべきか?
A. ギャップ分析を行う。
B. ビジネスインパクト分析(BIA)を実施する。
C. リスクアセスメントを行う。
D. 内部監査レビューを要求する。
回答を見る
正解: A
質問 #53
インシデントをエスカレートさせるかどうかの判断は、第一に以下に基づいて行われるべきである:
A. 組織のヒエラルキー
B. 情報セキュリティ管理者による優先順位付け
C. あらかじめ定義された方針と手順。
D. レスポンスチームの経験。
回答を見る
正解: C
質問 #54
セキュリティ情報イベント監視(SIEM)ソリューションが重大なインシデントを特定できない最も可能性の高い原因は、システムにある:
A. 関連デバイスからログを収集していない。
B. 最新のパッチにアップデートされていない。
C. クラウドサービスプロバイダーによってホストされている。
D. パフォーマンスに問題がある。
回答を見る
正解: A
質問 #55
組織の情報セキュリティ戦略の継続的な成功に最も重要な影響を与えるのはどれか。
A. 情報システム
B. 政策展開
C. セキュリティ・プロセス
D. 組織文化
回答を見る
正解: D
質問 #56
事業継続計画(BCP)のテストを実施する際に、最も重要な考慮事項は次のうちどれですか?
A. テストは重要な構成要素に対処する。
B. このテストは、実際のゴールデンタイムの処理状況をシミュレートしている。
C. テストは運用への影響を減らすために予定されている。
D. このテストでは、ITメンバーがテストプロセスに参加する。
回答を見る
正解: B
質問 #57
ある組織が、ハッキング事件の成功を受け、アプリケーションセキュリティの改善を計画している。次のうち、セキュリティプロジェクトのリスクはどれですか?
A. 重要な証拠が失われる可能性がある。
B. 組織の評判が損なわれる可能性がある。
C. トラップドアが設置されている可能性がある。
D. 実施をサポートするリソースがない可能性がある。
回答を見る
正解: D
質問 #58
組織が第三者の施設内でセキュリティレビューを実施できるようにするためには、第一に、以下の方法が有効である:
A. サービス・レベル・アグリーメント(SLA)
B. 組織のセキュリティ・ポリシーの受け入れ
C. 契約上の合意
D. 監査ガイドライン
回答を見る
正解: A
質問 #59
インシデントのエスカレーション計画を策定する際に最も考慮すべきことは、以下のことを確実にすることである:
A. 適切なステークホルダーが関与している
B. 情報資産は分類される
C. フォレンジック分析に関する要件
D. 影響の大きいリスクが特定されている
回答を見る
正解: A
質問 #60
SQLインジェクション攻撃から身を守るための戦略を立てる場合、情報セキュリティ・マネジャーが関与することが最も重要である:
A. 経営陣
B. セキュリティ・オペレーション・センター
C. ビジネスオーナー
D. アプリケーション開発者
回答を見る
正解: A
質問 #61
インシデントが発生した後、適切なリソースがタイムリーに適用されるようにするために役立つのはどれか。
A. インシデント管理ログを開始する。
B. インシデントレスポンスチームを定義する。
C. 緊急メッセージを放送する。
D. 事件を分類する。
回答を見る
正解: B
質問 #62
頻繁に遭遇するインシデントをセキュリティ意識向上トレーニングプログラムに確実に反映させる最善の方法は、以下の内容を盛り込むことである:
A. 退出インタビューの結果
B. 以前のトレーニングセッション
C. ヘルプデスクのリクエスト例
D. セキュリティ・アンケートへの回答。
回答を見る
正解: C
質問 #63
セキュリティインシデントを検出する最も効果的な方法はどれか。
A. 侵入テストの結果を分析する。
B. 最近のセキュリティリスク評価を分析する。
C. 脆弱性評価を分析する。
D. セキュリティの異常を分析する。
回答を見る
正解: D
質問 #64
組織のエンドユーザのセキュリティ意識を高める可能性が最も高いのはどれか。
A. フィッシング攻撃のシミュレーション
B. 職務記述書に含まれるセキュリティ目標
C. レッドチーム侵入テスト
D. 疑わしい電子メールを報告するための専用チャンネル
回答を見る
正解: B
質問 #65
ベンダーにシステムへのリモートアクセスを許可する場合、最も重要な考慮事項はどれか。
A. セッション監視
B. ハードドライブの暗号化
C. 多要素認証
D. パスワードハッシュ
回答を見る
正解: A
質問 #66
情報セキュリティロードマップにおいて、短期計画と長期計画を分ける最も適切な理由はどれか。
A. 積極的な取り組みを可能にするため
B. 現在のリスクに応じたロードマップの更新
C. イニシアティブにリソースを割り当てる
D. 経営陣への事業計画報告を容易にする
回答を見る
正解: A
質問 #67
Web ベースのサービスを提供する組織において、インシデント対応計画が開始され、経営陣にエスカレーションされる可能性が最も高いセキュリティ事象はどれか。
A. 従業員のワークステーションでログインに複数回失敗した
B. 非武装地帯(DMZ)から発信される疑わしいネットワーク・トラフィック
C. ウェブサーバーのポートスキャン
D. 複数の従業員のワークステーションにマルウェア対策アラート
回答を見る
正解: B
質問 #68
事故分類の主な目的はどれか?
A. 規制要件の遵守
B. 応答効率の向上
C. インシデント報告の有効化
D. 経営陣へのエスカレーションを減らす
回答を見る
正解: B
質問 #69
インシデント対応計画を作成する際に、最も重要なものはどれか。
A. インシデントを構成するものの特定
B. 脆弱なデータ資産の特定
C. リスク評価プロセスとの整合性
D. インシデント通知およびエスカレーションプロセスの文書化
回答を見る
正解: D
質問 #70
悪質なセキュリティインシデントの後、ある組織が責任者を起訴することを決定した。次のうち、フォレンジック調査を最も促進するものはどれですか。
A. 影響を受けるシステムのバックアップの実行
B. 影響を受ける環境の特定
C. チェーン・オブ・カストディの維持
D. 損害の程度の決定
回答を見る
正解: C
質問 #71
既存のインシデント対応プロセスのアセスメントを実施する主な利点はどれか。
A. 脅威と脆弱性の特定
B. 行動計画の優先順位付け
C. 現在の能力の検証
D. 同業他社とのベンチマーキング
回答を見る
正解: C
質問 #72
組織全体のユーザが情報セキュリティの責任を理解しやすくなるのは、次のうちどれが BEST か。
A. 業績インセンティブ付きのセキュリティ意識向上トレーニングの実施
B. 許容される使用ポリシーとしてセキュリティ責任を伝える
C. 違反した場合、懲戒処分が下されることを利用者に警告すること。
D. 情報セキュリティを組織の行動規範に組み込む
回答を見る
正解: A
質問 #73
社内で能力を維持しながら、セキュリティ・チームの人員不足を解消する最善の方法とは?
A. 正社員数に含まれない契約社員を雇用する。
B. 社内で管理しながら、セキュリティ・サービス・プロバイダーに委託する。
C. 社内の有能な従業員からなる仮想セキュリティチームを設立する。
D. 既存のリソースギャップを最小化するために、クロストレーニングを提供する。
回答を見る
正解: C
質問 #74
システム侵入に対して最も効果的なのはどれか?
A. 二要素認証
B. 継続的モニタリング
C. レイヤープロテクション
D. 侵入テスト
回答を見る
正解: C
質問 #75
効果的な意思決定を可能にする最も適切なものはどれか?
A. 新規および過去の情報リスクを分析する一貫したプロセス
B. 過去のセキュリティ事象から割り出された年率換算損失額
C. 経営陣によるリスク分析の正式な受け入れ
D. 一般的な脅威、影響、脆弱性の普遍的に適用されるリスト
回答を見る
正解: A
質問 #76
大規模ネットワークが脆弱である主な理由は、次のうちどれですか?
A. ハッキングと悪意のあるソフトウェア
B. 接続性と複雑性
C. ネットワーク・オペレーティング・システムとプロトコル
D. 不十分なトレーニングとユーザーエラー
回答を見る
正解: B
質問 #77
あるサーバーへのインターネットからの侵入が複数検知された場合、情報セキュリティ管理者の第一の関心事は、そのサーバーを確実に守ることである:
A. サーバーはネットワークにバックアップされている。
B. サーバーの電源が抜けている。
C. 証拠の完全性が保たれる。
D. フォレンジック調査ソフトウェアがサーバーにロードされている。
回答を見る
正解: C
質問 #78
ある組織がデータ漏洩に遭遇し、インシデント対応計画に従った。その後、その計画に不備があり、インシデントを関係当局に報告する要件が抜けていたことが判明した。最新のインシデント対応計画を策定することに加え、同様の事態を防ぐために最も役立つのは次のうちどれでしょうか?
A. インシデント対応計画の補遺として添付される報告書式
B. インシデント報告プロセスの経営陣による承認
C. インシデント対応計画の継続的評価。
D. 通信に関する責任の分担。
回答を見る
正解: D
質問 #79
ある従業員が、企業情報を含む個人用モバイルデバイスの紛失を報告しました。情報セキュリティマネジャーが最初にすべきことは次のうちどれでしょうか?
A. リモートアクセスを無効にする
B. デバイスのリセットを開始する
C. インシデント対応の開始
D. リスクアセスメントの実施
回答を見る
正解: D
質問 #80
ある組織がセキュリティ情報・イベント管理(SIEM)ツールを購入しました。実装前に考慮すべき最も重要なものは次のうちどれですか。
A. レポート機能
B. SIEMベンダーとの契約
C. 監視されるコントロール
D. 利用可能な技術サポート
回答を見る
正解: C
質問 #81
ある組織が、有名なクラウドサービスプロバイダーのマルチテナント環境で機密データを確実に隔離したいと考えています。データが適切に保護されていることを保証する最善の方法は、次のうちどれですか?
A. 暗号化管理方法の文書を入手する。
B. プロバイダがクラウドサービスのフレームワーク標準に従っていることを確認する。
C. コントロール・ギャップを特定するために、プロバイダの監査を確実に実施する。
D. プロバイダの情報セキュリティ方針と手順を確認する。
回答を見る
正解: B
質問 #82
インシデント対応計画の有効性を示すために最も有用なメトリクスは、次のうちどれですか?
A. インシデント解決までの平均時間
B. 報告されたインシデントの総数
C. インシデントレスポンスの総数
D. 事故対応に要する平均時間
回答を見る
正解: A
質問 #83
情報セキュリティの観点からは、国境を越えた技術関連物品の流れに関連する法的問題は、最も頻繁に関連する:
A. ウェブサイトの取引と課税
B. 競争と自由貿易の欠如。
C. 暗号化ツールと個人データ。
D. ソフトウェアのパッチと企業データ
回答を見る
正解: C
質問 #84
効果的なパフォーマンス測定を達成するために必要な最初のステップはどれか?
A. センサーの選択と配置
B. 管理目標の実施
C. メトリクスの検証と較正
D. 意味のあるメトリクスを定義する
回答を見る
正解: D
質問 #85
インシデント対応チームが適切な行動を決定するために必要な時間を短縮するために、最も役立つのはどれか。
A. チームメンバーに対し、インシデント対応に関する年次意識向上トレーニングを実施する。
B. ビジネスインパクト分析(BIA)におけるインシデントの重大度レベルの定義
C. 業界のベストプラクティスに照らしたインシデント対応計画の検証
D. インシデント対応手順、役割、責任のリハーサル
回答を見る
正解: D

送信後に回答を表示する

質問の回答を得るには、電子メールと WhatsApp を送信してください。

注: 正しい試験結果を得ることができるように、電子メール ID と WhatsApp が有効であることを確認してください。

Eメール:
WhatsApp/電話番号: