すべての情報を見逃したくないですか?

認定試験に合格するためのヒント

最新の試験ニュースと割引情報

当社の専門家による厳選最新情報

はい、ニュースを送ってください

CISM 模擬試験・勉強法・情報セキュリティ管理士|SPOTO

SPOTOの包括的な模擬試験、模擬テストおよび学習リソースでCISM (Certified Information Security Manager)認定試験の成功に備えましょう。上級資格であるCISMは、企業の情報セキュリティプログラムを効果的に開発・管理する能力を証明します。当社の模擬試験は、情報リスク管理、ガバナンス、インシデント管理、プログラム開発など、さまざまな試験トピックをカバーしています。無料のサンプル問題にアクセスして知識を確認したり、試験問題集を解いて理解を深めたり、模擬試験を受けて実際の試験状況をシミュレートすることができます。詳細な解答と解説が掲載された厳選された試験資料で、理解を深めることができます。オンライン試験シミュレータを利用して、試験問題を練習し、試験戦略を練り、自信を持ってCISM試験に備えることができます。
他のオンライン試験を受ける
質問 #1
お粗末なウェブ・アプリケーションの一般的な懸念は、攻撃者にそれを許してしまうことである:
A. バッファオーバーフローによって制御を得る。
B. 分散型サービス拒否(DoS)攻撃を行う。
C. レースコンディションを悪用する。
D. 構造化クエリー言語(SQL)ステートメントを注入する。
回答を見る
正解: D
質問 #2
組織のデータ分類プログラムをレビューする情報セキュリティ管理者が最も関心を持つべきものはどれか。
A. このプログラムでは、例外を認めることができます。
B. ラベリングが組織全体で一貫していない。
C. データ保持要件が定義されていない。
D. クラス分けが業界のベストプラクティスに従っていない。
回答を見る
正解: A
質問 #3
暗号化されていないデータを持つモバイル機器の紛失において、最も考慮すべき重要な要因はどれか。
A. 個人情報の開示
B. 偶発的な損害に対する保険契約の十分な補償範囲
C. 機器に保存されたデータの本質的価値
D. 機器の交換費用
回答を見る
正解: C
質問 #4
生体認証デバイスで管理された無人サーバールームへの物理的アクセス遵守の合理的な保証を提供する上で、最も効果的な管理策はどれか。
A. アクセス制御リストの定期的な見直し
B. 警備員による訪問者のエスコート
C. 入場の際の来場者登録
D. 生体認証と暗証番号の組み合わせ
回答を見る
正解: A
質問 #5
電子商取引の注文処理用ウェブサーバーは、一般的に次のうちどれに置くべきか?
A. 内部ネットワーク
B. 非武装地帯(DMZ)
C. データベースサーバー
D. ドメインコントローラ
回答を見る
正解: B
質問 #6
リスク管理の最良の戦略は次のとおりである:
A. リスクと組織目標のバランスを取る。
B. リスクを許容レベルまで低減する。
C. 政策立案が組織リスクを適切に考慮するようにする。
D. すべての未然リスクを経営陣が受け入れるようにする。
回答を見る
正解: B
質問 #7
ビジネスプロセスオーナーによって管理されているアプリケーションレベルのセキュリティ管理が不十分であることが判明した場合、現在の実務を改善できるベストはどれか。
A. セキュリティ管理の一元化
B. コンプライアンス違反に対する制裁の実施
C. IT管理者によるポリシーの実施
D. 定期的なコンプライアンスレビュー
回答を見る
正解: A
質問 #8
アプリケーションの基礎となるコードに重大な変更を加えた後は、情報セ キュリティマネージャにとって、次のことが最も重要である:
A. 経営幹部に報告する
B. リスクアセスメントを更新する
C. ユーザー受け入れテストの検証
D. 主要なリスク指標を修正する
回答を見る
正解: A
質問 #9
データ分類スキームを確立する第一の理由は、識別することである:
A. データの所有権
B. データ保持戦略
C. 適切なコントロール
D. 復興の優先順位
回答を見る
正解: A
質問 #10
情報セキュリティ・マネジャーは、セキュリティ評価指標を使用して評価する:
A. 情報セキュリティ・プログラムの実施。
B. セキュリティ・ベースラインのパフォーマンス
C. セキュリティリスク分析の有効性
D. インシデント対応チームの有効性
回答を見る
正解: A
質問 #11
ビジネスインパクト評価を定期的に実施する主な理由は、次のうちどれですか?
A. 前回の事業影響評価の結果を改善する
B. 新たなリスクに基づく復旧目標の更新
C. 回復時間の短縮
D. 事業継続ポリシーのニーズを満たす
回答を見る
正解: D
質問 #12
情報セキュリティマネジャーが、外部のサービスプロバイダーが組織の重要なデータを保護するための適切な管理策を導入していないことに気付いた場合、どのような行動を取るのがベストでしょうか?
A. コントロールギャップの影響を評価する。
B. 契約の再交渉を開始する。
C. 追加保険に加入する。
D. プロバイダの管理監査を実施する。
回答を見る
正解: B
質問 #13
送信者の秘密鍵によって暗号化され、受信者の公開鍵によって再び暗号化されたメッセージ*は、次のことを実現する:
A. 認証と承認。
B. 機密性と完全性。
C. 機密保持と否認防止。
D. 認証と否認防止。
回答を見る
正解: C
質問 #14
情報セキュリティに関連する重要リスク指標(KRI)をモニタリングする最も重要な目的は、以下の通りである:
A. セキュリティエクスポージャの変化を特定する。
B. リスク管理コストの削減
C. 規制遵守要件を満たす。
D. セキュリティ事故による損失を最小限に抑える。
回答を見る
正解: A
質問 #15
情報資産の分類を行う主な利点は、次のとおりである:
A. セキュリティ要件をビジネス目標に関連付ける。
B. リスクに見合ったコントロールを特定する。
C. アクセス権を定義する。
D.
A.
E. D
回答を見る
正解: B
質問 #16
ITアプリケーションによって処理される情報資産に関連するリスクレベルを判断する最善の方法は何か?
A. 攻撃者にとっての情報の潜在的価値を評価する。
B. 情報資産のビジネス価値を計算する
C. ビジネスにおける情報資産の取得コストの見直し
D. 情報に関連するコンプライアンス要件の調査
回答を見る
正解: B
質問 #17
残留リスクが許容リスクレベルを超えている場合の情報セキュリティマネジャーの行動として、最も適切なものはどれか。
A. 費用便益分析の実施
B. 追加のコントロールを推奨する
C. リスクアセスメントの実施
D. 経営に委ねる
回答を見る
正解: B
質問 #18
ある情報セキュリティマネジャーが、組織の情報をさまざまな脅威のベクトルから守るための戦略を立てるよう求められている。次のうち、最初に行うべきことはどれか?
A. 脅威モデル演習の実施
B. リスクプロファイルの作成
C. リスク管理プロセスの設計
D. ガバナンスのフレームワークを選択する
回答を見る
正解: B
質問 #19
キャパシティ・プランを実施することで、それを防ぐことができる:
A. 分散型サービス拒否攻撃によるファイルシステムの過負荷
B. 定期的なセキュリティメンテナンスのためのシステム停止時間
C. バッファ容量の脆弱性を悪用したソフトウェア障害
D. ハードウェアリソースの不足に起因するアプリケーションの障害
回答を見る
正解: D
質問 #20
組織の情報セキュリティリスクを効果的に管理するためには、以下のことが最も重要である:
A. 新しいシステムの脆弱性を定期的に特定し、修正する。
B. リスク管理責任をエンドユーザーに課す
C. 同業組織に対するリスクシナリオのベンチマーク
D. リスク許容度の設定と伝達
回答を見る
正解: A
質問 #21
大規模な多国籍企業において、情報セキュリティ管理者が最もセキュリティ保護レベルが低いと予想する情報の種類はどれか。
A. 戦略的事業計画
B. 今後の決算についてお客様の個人情報
C.
D. 過去の決算
回答を見る
正解: D
質問 #22
リスク発生率は低いが影響が大きい場合、最も適切な対策はどれか。
A. リスク移転
B. リスクの受容
C. リスクの軽減
D. リスク回避
回答を見る
正解: D
質問 #23
情報セキュリティプログラムへの投資を支援するビジネスケースを作成する際に、最も重要な検討事項はどれか。
A. 上級管理職のサポート
B. 費用便益分析の結果
C. リスクアセスメントの結果
D. リスクプロファイルへの影響
回答を見る
正解: D
質問 #24
情報セキュリティガバナンスの枠組みを構築する際、情報セキュリティ管理者が理解することが最も重要である:
A. 規制環境。
B. 情報セキュリティのベストプラクティス
C. 企業文化。
D. リスク管理手法
回答を見る
正解: A
質問 #25
リスクアセスメントプロセスにおいて、最初に実施すべきステップはどれか。
A. スタッフインタビュー
B. 脅威の特定
C. 資産の識別と評価
D. 特定されたリスクの可能性の判断
回答を見る
正解: C
質問 #26
情報セキュリティガバナンス委員会の主な責務はどれか。
A. 情報セキュリティポリシー・コンプライアンスレビューの分析
B. 情報セキュリティ技術の購入を承認する
C. 情報セキュリティ戦略の見直し
D. 情報セキュリティ意識向上トレーニング戦略の承認
回答を見る
正解: C
質問 #27
情報セキュリティとビジネス機能の整合性を確保する上で、最も効果的なのはどれか。
A. 情報セキュリティポリシーの策定
B. 情報セキュリティガバナンス委員会の設置
C. セキュリティ意識向上プログラムの確立
D. 情報セキュリティ対策のための資金提供
回答を見る
正解: B
質問 #28
情報セキュリティガバナンスとコーポレートガバナンスの整合性を示すものとして、最も適切なものはどれか。
A. 事業部門全体の平均セキュリティインシデント件数
B. セキュリティ・プロジェクトの正当性をビジネス価値という観点で示す。
C. 高リスク情報資産について特定された脆弱性の数
D. 全社的なセキュリティインシデントの平均解決時間
回答を見る
正解: B
質問 #29
ある基幹業務部門が、現在のセキュリティ基準を満たしておらず、企業ネットワークを脅かしている効果的なレガシーシステムに依存している。このような状況に対処するための最善策はどれか。
A. リスク登録簿に不備を文書化する。
B. レガシーシステムを他のネットワークから切り離す。
C. 基準を満たす新しいシステムの導入を義務付ける。
D. 欠陥を補うプロセスを開発する。
回答を見る
正解: A
質問 #30
事業部門が情報セキュリティガバナンスフレームワークを遵守するための最も効果的な方法はどれか。
A. セキュリティ要件をプロセスに統合する
B. セキュリティ評価とギャップ分析の実施
C. ビジネスインパクト分析(BIA)の実施
D. 情報セキュリティ意識向上トレーニングの実施
回答を見る
正解: B
質問 #31
リスクの特定、分析、緩和活動をビジネス・ライフサイクル・プロセスにリンクさせることで、BESTに統合することができる:
A. コンプライアンス・テスト
B. 構成管理
C. 継続計画
D. 変更管理
回答を見る
正解: B
質問 #32
定量的リスク分析は、評価データがある場合に最も適している:
A. 顧客の認識を含む。
B. C
C. D
回答を見る
正解: B
質問 #33
ある組織が、複数のアプリケーションをホストするデータセンターの災害復旧計画を策定している。アプリケーションの復旧順序は、以下の分析を通じて決定される:
A. 主要業績評価指標(KPI)
B. 復旧時間目標(RTO)
C. 回復時点目標(RPO)
D. データ分類スキーム
回答を見る
正解: S
質問 #34
情報セキュリティガバナンスフレームワークを策定する際、最初に取り組むべき活動はどれか。
A. システムの開発ライフサイクルプロセスにセキュリティを組み込む。
B. 情報セキュリティプログラムを、組織の他のリスク及び統制活動と整合させる。
C. フレームワークをサポートするための方針と手順を策定する。
D. セキュリティ侵害を検知し、確実に終結させるための対応策を策定する。
回答を見る
正解: B
質問 #35
ある組織が、ビジネスクリティカルなアプリケーションのデジタルフォレンジックを可能にしたいと考えています。この目的をサポートするのに最も役立つのは次のうちどれですか?
A. バイオメトリック・アクセス・コントロールを設置すること。
B. インシデント対応計画を策定する。
C. データ保持基準を定義する。
D. アクティビティロギングを有効にする。
回答を見る
正解: A
質問 #36
残留リスクを最終的に受容する前に、許容リスクレベルより低いと判断されたリスク要因に対 処する情報セキュリティマネジャーの最良の方法は何か。
A. 過剰な管理レベルが適用されていないかどうかを評価する。
B. 上級管理職に許容リスクレベルの引き上げを要請する。
C. より厳しい対策を実施する。
D. 上級管理職に許容リスクレベルを引き下げるよう求める。
回答を見る
正解: A
質問 #37
情報セキュリティポリシーを策定する際に、情報セキュリティ管理者が最も重視すべき目標はどれか。
A. 組織のセキュリティリスクの低減
B. 情報保護の改善
C. セキュリティ管理コストの最小化
D. 組織目標の達成
回答を見る
正解: A
質問 #38
リスク管理プログラムの第一の目的は、内在するリスクを最小化することである。
A. B
B. C
C. D
回答を見る
正解: D
質問 #39
情報セキュリティ管理者が、組織内の情報セキュリティポリシーの遵守状況を確認する最も良い方法はどれか。
A. システムログを分析する。
B. セキュリティ意識テストを実施する。
C. 脆弱性評価を実施する。
D. 定期的な監査を実施する。
回答を見る
正解: D
質問 #40
組織の現在のリスク軽減能力を判断する上で、最も役に立つのはどれか。
A. 能力成熟度モデル
B. ビジネスインパクト分析
C. ITセキュリティ・リスクと暴露
D. 脆弱性評価
回答を見る
正解: A
質問 #41
ある大企業が、従業員が自分のスマートフォンを組織環境に持ち込むことを認める方針を検討している。情報セキュリティ管理者にとって最も重要な懸念は、以下の点である:
A. エンドユーザーをサポートするためのコスト増
B. ネットワーク容量への影響
C. エンドユーザーの生産性の低下
D. デバイス管理ソリューションの欠如
回答を見る
正解: D
質問 #42
情報セキュリティリスクを経営幹部に伝える最も効果的な方法はどれか。
A. ビジネスインパクト分析
B. バランススコアカード
C. 主要業績評価指標(KPI)
D. ヒートマップ
回答を見る
正解: A
質問 #43
情報セキュリティプログラムが組織のビジネス目標を満たしているかどうかを判断する方法として、最も適切なものはどれか。
A. パフォーマンス測定を実施する。
B. 国際的なセキュリティ基準に照らして検証する。
C. ビジネスインパクト分析(BIA)を実施する。
D. 全社的なセキュリティ評価を毎年実施する。
回答を見る
正解: D
質問 #44
ビジネスプロセスオーナー向けのセキュリティ研修プログラムに、最も優先的に含めるべきものはどれか。
A. セキュリティ・リスクの影響
B. アプリケーションの脆弱性
C. アプリケーションの復旧時間 報告されたセキュリティインシデントのリスト A ある CIO が、組織の情報セキュリティマネジャーに対して、情報セキュリ ティプログラムの 1 年計画と 5 年計画の両方を提出するよう要請した。長期計画の主な目的は何か。
D.
A. 将来予測されるセキュリティニーズに対応するための正式な要件を作成する。
E. B
F. C
G. D
回答を見る
正解: B
質問 #45
効果的な情報セキュリティガバナンスフレームワークを設計するために最も重要な考慮事項はどれか。
A. 定義された測定基準
B. 継続的な監査サイクル
C. セキュリティポリシー規定
D. セキュリティ制御の自動化
回答を見る
正解: A
質問 #46
災害復旧計画を策定する際、システムを復旧させる順番に優先順位をつけるのに最も役立つのはどれか。
A. ビジネスインパクト分析の実施
B. 各システムのデータ量の測定
C. 情報セキュリティポリシーの見直し
D. 事業戦略の見直し
回答を見る
正解: D
質問 #47
情報セキュリティガバナンスをコーポレートガバナンスと統合する上で、最も有用なものはどれか。
A. 情報セキュリティガバナンスの実施を運営委員会に割り当てる。
B. 運用・管理プロセスに情報セキュリティプロセスを含める。
C. 情報セキュリティの効率性と有効性に関する独立した報告書を取締役会に提出する。
D. 情報セキュリティガバナンスをグローバルに通用するフレームワークに合わせる。
回答を見る
正解: B
質問 #48
あるグローバルな金融機関が、リスクアセスメントチームによって発見されたサービス拒否(DoS)リスクについて、これ以上の対策を講じないことを決定した。彼らがこの決定を下した最も可能性の高い理由は、以下の通りである:
A. このようなリスクが発生しないよう、十分な保護措置が講じられている。
B. 必要な対策が複雑すぎて展開できない。対策にかかるコストが、資産の価値や潜在的な損失を上回る。リスクが発生する可能性が不明である。
回答を見る
正解: C
質問 #49
リスク管理プログラムが最も効果的なのは、次のような場合である:
A. リスク選好度が長期間持続する。
B. リスクアセスメントは定期的に繰り返される
C. リスク評価は第三者によって実施される。
D. 事業部門はリスク評価に関与する。
回答を見る
正解: D
質問 #50
強化されたパスワード標準の実施を任務とする情報セキュリティマネジャーにとって、最も役立つのはどれか。
A. パスワード強度テストの実施
B. 強力で複雑なパスワードの作成に関するエンドユーザーの再教育
C. 集中型 ID 管理システムの導入
D. 強力な複雑性を含む技術的パスワード管理の実施
回答を見る
正解: A
質問 #51
セキュリティ評価中に、ある情報セキュリティ管理者が、重要なビジネスアプリケーションをホストしているサーバに、多数のセキュリティパッチがインストールされていないことを発見した。アプリケーションの所有者は、アプリケーションの中断を避けるために、パッチのインストールを承認しなかった。情報セキュリティマネジャーが最初に取るべき行動はどれか。
A. 上級管理職にリスクを報告する。
B. アプリケーション所有者に潜在的な影響を伝える。
C. リスクを情報セキュリティ運営委員会に報告する。
D. IT 管理者と緩和策を決定する。
回答を見る
正解: D

送信後に回答を表示する

質問の回答を得るには、電子メールと WhatsApp を送信してください。

注: 正しい試験結果を得ることができるように、電子メール ID と WhatsApp が有効であることを確認してください。

Eメール:
WhatsApp/電話番号:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.