すべての情報を見逃したくないですか?

認定試験に合格するためのヒント

最新の試験ニュースと割引情報

当社の専門家による厳選最新情報

はい、ニュースを送ってください

CISM Practice Tests & Real Exam Dumps 2024 Updated, Certified Information Security Manager|SPOTO

SPOTOの最新版の2024模擬試験と実際の試験問題集を使って、CISM認定試験の準備をしましょう。認定情報セキュリティ管理者として、あなたは企業の情報セキュリティプログラムの開発と管理における高度な知識と経験を証明します。弊社の模擬試験は、情報リスク管理、ガバナンス、インシデント管理、プログラム開発など、試験に不可欠なトピックをカバーしています。無料のサンプル問題にアクセスして準備態勢を評価し、包括的な試験ダンプに飛び込んで徹底的に復習してください。SPOTOの模擬試験で、実際の試験シナリオをシミュレートし、受験スキルを磨きましょう。詳細な解答と解説が付いた試験問題集で理解を深めましょう。弊社のオンライン試験シミュレーターを利用して模擬問題を演習し、試験の戦略を強化し、CISM試験に効果的に備えることができます。
他のオンライン試験を受ける

質問 #1
次のうち、強力なパスワードを利用することで最も軽減できる攻撃はどれか。
A. 中間者攻撃
B. ブルートフォース攻撃
C. リモート・バッファ・オーバーフロー
D. ルートキット
回答を見る
正解: B
質問 #2
次のうち、最もセキュリティ上の弱点が導入されやすい分野はどれか?
A. データベース管理
B. テープバックアップ管理
C. 構成管理
D. インシデント対応管理
回答を見る
正解: B
質問 #3
次のうち、一般的に組織に最も大きな悪影響を与えるのはどれか?
A. コンピュータ・ソフトウェアの窃盗
B. 公共サービスの中断
C. 顧客の信頼喪失
D. 金銭的損失をもたらす内部不正
回答を見る
正解: A
質問 #4
あるオンラインバンキング機関は、顧客の個人情報の漏洩が、個人情報が漏洩した可能性のある顧客への通知と補償の必要性から、財務に大きな影響を与えることを懸念している。同機関は、残存リスクが常に高すぎると判断し、以下を決定する:
A. 保険に加入することで影響を軽減する。
B. 回路レベルのファイアウォールを導入し、ネットワークを保護する。
C. セキュリティ対策の回復力を高める。
D. リアルタイムの侵入検知システムを実装する。
回答を見る
正解: B
質問 #5
セキュリティー監視の仕組みは、第一義的にそうあるべきである:
A. ビジネスクリティカルな情報に焦点を当てる。
B. オーナーが管理リスクを管理するのを支援する。
C. ネットワーク侵入の検出に重点を置く。
D. すべてのセキュリティ違反を記録する。
回答を見る
正解: B
質問 #6
リスク評価調査の結果、グローバルに事業を展開するある銀行が、個人情報の盗難が多発している世界の特定の地域で事業を継続することを決定した。情報セキュリティマネジャーは、この企業に次のことを促すべきである:
A. それらの地域での顧客啓蒙活動を強化する。
B. 潜在的な不正行為を検知し、対応するための監視技術を導入する。
C. クレジットカード処理を第三者に委託する。
D. 銀行のアドバイスに従わなかった場合、顧客に損失責任を負わせる。
回答を見る
正解: B
質問 #7
ある組織が、顧客関係管理(CRM)を第三者のサービス・プロバイダーにアウトソーシングすることを計画している。その組織が最初に行うべきことはどれか?
A. 第三者プロバイダーに従業員の身元調査を依頼する。
B. 内部リスクアセスメントを実施し、必要な管理策を決定する。
C. C
D. セキュリティ脆弱性を検出するために、セキュリティアセスメントを実施する。
回答を見る
正解: C
質問 #8
セキュリティプログラム内でリスク分析を使用する主な目的は、次のとおりである:
A. 警備費を正当化する。
B. 企業が保護すべき資産に優先順位をつけるのを支援する。
C. 残存リスク価値を経営陣に知らせる。
D. 暴露を評価し、修復を計画する。
回答を見る
正解: B
質問 #9
フォレンジック分析ツールに投資する必要性を正当化するために、情報セキュリティ管理者はFIRSTを行うべきである:
A. ソリューションの機能性と実装要件を確認する。
B. 同業他社におけるツール導入の比較レポートをレビューする。
C. そのようなツールが役に立つ状況の例を示す。
D. 組織のニーズを満たすための投資を立証する。
回答を見る
正解: D
質問 #10
あるプロジェクトマネージャが開発者向けポータルを開発しており、セキュリティマネージャに、社内のスタッフや社外のコンサルタントが組織のローカルエリアネットワーク(LAN)外にアクセスできるように、パブリックIPアドレスを割り当てるよう依頼している。セキュリティマネジャーはまず何をすべきでしょうか?
A. 開発者ポータルのビジネス要件を理解する
B. 開発者ポータルの脆弱性評価を実施する
C. 侵入検知システム(IDS)の導入
D. サーバーへの外部アクセスを許可する前に、外部のコンサルタントから署名入りの秘密保持契約書(NDA)を入手する。
回答を見る
正解: A
質問 #11
システム管理者が、悪意ある攻撃についてセキュリティ管理者に直ちに通知しなかった。情報セキュリティ管理者は、次のような方法でこの状況を防ぐことができる:
A. インシデント対応計画を定期的にテストする。
B. 侵入検知システム(IDS)を定期的にテストする。
C. 全職員に対する義務的な研修を設ける。
D. インシデント対応手順を定期的に見直す。
回答を見る
正解: D
質問 #12
新しいアプリケーションシステムのリスク評価を始めるのに最も適切なのは、開発のどの段階ですか?
A. 実現可能性
B. デザイン
C. 開発
D. テスト
回答を見る
正解: C
質問 #13
情報セキュリティ・ポリシーが確実に守られるようにする最善の方法は、次のとおりである:
A. 印刷物を全従業員に配布する。
B. コンプライアンスを定期的に見直す。
C. コンプライアンス違反に対するエスカレートする罰則を含む。
D. 政策の乱用を報告するための匿名ホットラインを設置する。
回答を見る
正解: A
質問 #14
ユーザーアカウントに対するオンラインブルートフォース攻撃を軽減するための最も良いアプローチはどれか。
A. 暗号化されて保存されるパスワード
B. ユーザーの意識
C. 定期的に変更される強固なパスワード
D. ロックアウトポリシーの実施
回答を見る
正解: A
質問 #15
情報セキュリティプログラムを確立するための最初のステップはどれか。
A. セキュリティポリシーを策定する。
B. セキュリティ運用手順を策定する。
C. セキュリティ計画を策定する。
D. セキュリティ管理策の調査を実施する。
回答を見る
正解: A
質問 #16
リスクアセスメントを継続的に実施する主な理由はどれか。
A. 安全保障予算の正当化は、継続的に行われなければならない。
B. 新しい脆弱性は毎日発見されている。
C. リスク環境は常に変化している。
D. 経営陣は、新たなリスクについて継続的に情報を得る必要がある。
回答を見る
正解: C
質問 #17
新たなリスクが定期報告かイベントドリブン報告のどちらに該当するかの判断は、次のどれに基づくべきか?
A. 緩和策
B. 衝撃の可視性
C. 発生の可能性
D. 発生頻度
回答を見る
正解: D
質問 #18
構造化クエリー言語(SQL)インジェクションの脆弱性からアプリケーションを守る効果的な方法は、以下の通りです:
A. クライアント側の入力を検証し、サニタイズする。
B. データベースのリスナー・コンポーネントを強化する。
C. データベーススキーマを第3正規形に正規化する。
D. オペレーティングシステムのセキュリティパッチが更新されていることを確認する。
回答を見る
正解: A
質問 #19
リスクマネジメントが成功していることを示すものとして、最も適切なものはどれか。
A. 総合的なリスクの定量化
B. 内在するリスクは排除される
C. 残留リスクの最小化
D. コントロール・リスクは事業部門と結びついている
回答を見る
正解: A
質問 #20
15カ国で事業を展開する多国籍企業が、情報セキュリティプログラムの導入を検討している。情報セキュリティプログラムの設計に最も影響を与える要因はどれか。
A. 地域のビジネスリーダーによる代表
B. 取締役会の構成
C. 各国の文化
D. ITセキュリティスキル
回答を見る
正解: A
質問 #21
リスク管理プログラムには次のようなことが期待される:
A. 固有のリスクをすべて取り除く。
B. 残留リスクを許容可能なレベルに維持する。
C. あらゆる脅威に対して予防策を講じる。
D. コントロールリスクをゼロにする。
回答を見る
正解: A
質問 #22
リスクを評価する上で、最も重要なのは以下のことである:
A. すべての資産タイプに対して均等なカバレッジを提供する。
B. 類似組織のベンチマークデータを使用する。
C. 金銭的価値と損失の可能性の両方を考慮する。
D. 主に脅威と最近のビジネス上の損失に焦点を当てる。
回答を見る
正解: B
質問 #23
情報セキュリティマネジャーが、より制限的な予防管理策を実施するよう命じられた。そうすることで、正味の効果として、情報セキュリ ティマネージャが実施する予防的管理策を大幅に削減することができる:
A. 脅威。
B. 損失。
C. 脆弱性。
D. 確率。
回答を見る
正解: C
質問 #24
スタッフのセキュリティ意識を向上させるMOS Tの費用対効果の高い手段とは?
A. 従業員の金銭的インセンティブ
B. ユーザー教育とトレーニング
C. ゼロ・トレランス・セキュリティ・ポリシー
D. セキュリティ違反の報告
回答を見る
正解: A
質問 #25
組織の営業部門のみが使用する、中央データベースに保存された顧客データの最も適切な所有者は、次のようになる:
A. 営業部門。
B. データベース管理者
C. 最高情報責任者(CIO)。
D. 営業部長。
回答を見る
正解: C
質問 #26
侵入検知メカニズムの有効性を評価するための指標として、最も適切なものはどれか。
A. 検出された攻撃の数
B. 成功した攻撃回数
C. 偽陽性と偽陰性の比率
D. 成功した攻撃と失敗した攻撃の比率
回答を見る
正解: C
質問 #27
最近変更されたウェブアプリケーションが不正アクセスを許していると考える理由がある。アプリケーションのバックドアを特定する最も良い方法はどれか。
A. ブラックボックス・ペンテスト
B. セキュリティ監査
C. ソースコードレビュー
D. 脆弱性スキャン
回答を見る
正解: A
質問 #28
リスクアセスメントを実施する際、最も重要な検討事項は以下の通りである:
A. 経営陣はリスク軽減の取り組みをサポートする。
B. 年間損失予想額(ALE)が重要資産に対して算出されている。
C. 資産が特定され、適切に評価されている。
D. 攻撃の動機、手段、機会を理解する。
回答を見る
正解: B
質問 #29
ベンダーが提供するホットサイトでのディザスタリカバリ・テストを成功させるために最も重要な要素はどれか。
A. テストは週末に実施
B. ネットワークIPアドレスは事前に定義されている
C. ホットサイトの設備は同一である。
D. 経営陣が積極的に参加
回答を見る
正解: B
質問 #30
新入社員には、セキュリティ意識向上トレーニングを実施すべきである:
A. 必要に応じて。
B. システムユーザーのトレーニング中
C. データにアクセスする前に
D. また、同部門のスタッフとともに博士号を取得した。
回答を見る
正解: B
質問 #31
オペレーティング・システムのセキュリティ上の弱点を防ぐのに最も効果的なのはどれか。
A. パッチ管理 変更管理
B.
C. セキュリティ・ベースライン
D. 構成管理
回答を見る
正解: C
質問 #32
ログの記録は、システム侵害に対するどのタイプの防御策の一例か?
A. 封じ込め
B. 検出C
C. D
回答を見る
正解: B
質問 #33
複数のセキュリティー・パッチが導入された後、いくつかの事業部門からシステムに関する問題が報告された。この問題に対処するための最初のステップは以下の通りである:
A. 問題を評価し、必要であればロールバック手順を導入する。
B. 問題が解決するまで、システムをネットワークから切り離す。
C. これらのシステムから直ちにパッチをアンインストールする。
D. 発生した問題について、直ちにベンダーに連絡する。
回答を見る
正解: A
質問 #34
ペネトレーション・テストを実施するベストなタイミングは、その後である:
A. 侵入未遂が発生した。
B. 監査により、セキュリティ管理の弱点が報告された。
C. さまざまなインフラの変更が行われる。
D. システム・スタッフの入れ替わりが激しい。
回答を見る
正解: D
質問 #35
一般に、情報セキュリティプログラムの基本的な構成要素と考えられているのはどれか。
A. 役割ベースのアクセス制御システム
B. 自動アクセスプロビジョニング
C. セキュリティ意識向上トレーニング
D. 侵入防御システム(IPS)
回答を見る
正解: C
質問 #36
特定のビジネス・アプリケーションに必要な情報セキュリティのレベルを決定する最も適切な人物は、そのアプリケーションの担当者である:
A. システム開発者。
B. 情報セキュリティマネージャー
C. ステアリング委員会
D. システムデータの所有者
回答を見る
正解: C
質問 #37
誰が、情報セキュリティガバナンスフレームワークの実施計画を BEST に承認できるか。
A. 内部監査人
B. 情報セキュリティ管理 運営委員会
C.
D. インフラ管理
回答を見る
正解: A
質問 #38
ビジネスプロセスオーナーによって管理されているアプリケーションレベルのセキュリティ管理が不十分であることが判明した場合、現在の実務を改善できるベストはどれか。
A. セキュリティ管理の一元化
B. コンプライアンス違反に対する制裁の実施
C. IT管理者によるポリシーの実施
D. 定期的なコンプライアンスレビュー
回答を見る
正解: A
質問 #39
データ所有者は、次のどの分野に対処するためのリスク軽減方法を確立する第一義的な責任を負うか?
A. プラットフォームのセキュリティ
B. 資格の変更
C. 侵入検知
D. ウイルス対策
回答を見る
正解: A
質問 #40
リスク管理の目的上、資産の価値は以下のものに基づくべきである:
A. 原価。
B. 純キャッシュフロー
C. 正味現在価値 D
回答を見る
正解: C
質問 #41
ある組織が、顧客宛てのメール送付を行うために、新しいビジネスパートナーと契約を締結しようとしている。
A. ビジネスパートナーのセキュリティ管理に関するデューデリジェンス・セキュリティレビュー
B. ビジネスパートナーが効果的な事業継続プログラムを持っていることを確認する。
C. 第三者が契約上、関連するすべてのセキュリティ要件に対して義務を負っていることを確認する。
D. ビジネス・パートナーの他の顧客に話を聞き、業績に関するリファレンスを確認する。
回答を見る
正解: B
質問 #42
ある会社には、ローカルファイル/プリントサーバーとメールサーバーを持つ支店のネットワークがあり、各支店は個別にホットサイトを契約している。次のうち、リカバリ能力において最も大きな弱点はどれでしょうか?
A. ホットサイトの独占使用は6週間に制限されています。
B. ホットサイトを他の顧客と共有しなければならない場合がある。
C. 申告の時期により、サイトへのアクセス優先順位が決定される。
D. プロバイダーは、その地域のすべての大手企業にサービスを提供しています。
回答を見る
正解: C
質問 #43
ある組織が、企業ウェブサイトのホスティングを外部のサービス・プロバイダーと契約する予定である。情報セキュリティ管理者にとって最も重要なことは、以下のことを確実にすることである:
A. サービスプロバイダーに対する監査で、重大な弱点は見つからなかった。
B. 契約には、組織の知的財産を保護するための秘密保持契約(NDA)が含まれている。
C. 契約では、サービスプロバイダーがセキュリティポリシーを遵守することを義務付けるべきである。
D. 第三者サービスプロバイダは、定期的に侵入テストを行っている。
回答を見る
正解: C

送信後に回答を表示する

質問の回答を得るには、電子メールと WhatsApp を送信してください。

注: 正しい試験結果を得ることができるように、電子メール ID と WhatsApp が有効であることを確認してください。

Eメール:
WhatsApp/電話番号: