すべての情報を見逃したくないですか?

認定試験に合格するためのヒント

最新の試験ニュースと割引情報

当社の専門家による厳選最新情報

はい、ニュースを送ってください

包括的なCISM試験問題と解答、公認情報セキュリティ・マネージャー|SPOTO

SPOTOの総合模擬試験問題集でCISM(Certified Information Security Manager)認定試験の準備を万全にしましょう。弊社の模擬試験は、情報リスク管理、ガバナンス、インシデント管理、プログラム開発など、幅広い試験トピックをカバーしています。無料サンプル問題にアクセスして自分の知識を評価し、試験問題集を探究して深く理解し、模擬試験を受けて実際の試験シナリオをシミュレートします。詳細な解答と解説付きの試験資料を活用して、学習を強化しましょう。SPOTOのオンライン試験シミュレータを利用して、試験問題を練習し、試験戦略を練り、CISM試験に効果的に備えることができます。試験問題の練習、サンプルシナリオの確認、試験戦略の練磨など、SPOTOの総合的なCISM試験練習問題と解答はあなたを成功に導きます。
他のオンライン試験を受ける
質問 #1
情報セキュリティガバナンスがビジネス目標 にどのように整合しているかを経営幹 部に示す上で、どのような情報が最も 役立つか
A. 開発中の情報セキュリティ・プロジェクトに関する最新情報
B. 方針変更案の草案
C. 主要な情報セキュリティ成果物の指標
D. 監視対象の脅威、リスク、エクスポージャーのリスト
回答を見る
正解: C
質問 #2
ある企業が、重要なビジネス・アプリケーションの1つをクラウド・ホスティング・サービスに移行することを検討している。クラウドプロバイダーは、このアプリケーションに対して、組織と同レベルのセキュリティを提供しない可能性がある。次のうち、セキュリティ体制を維持するために最も有効な情報はどれでしょうか。
A. リスク評価
B. クラウドセキュリティ戦略
C. 脆弱性評価
D. リスク・ガバナンスの枠組み
回答を見る
正解: A
質問 #3
ファイアウォールの有効性を評価するための最良の指標は、次のとおりである:
A. ブロックされた攻撃の数
B. ドロップしたパケット数
C. 平均スループット・レート。
D. ファイアウォールルールの数
回答を見る
正解: C
質問 #4
組織がリスクを適切に管理していることを示す指標として、最も適切なものはどれか。
A. スタッフから報告されるセキュリティ事故の件数が増加した。
B. リスクアセスメントの結果は許容範囲内
C. 侵入テストでは、リスクの高いシステムの脆弱性は特定されない。
D. 侵入検知システムから報告されるイベント数が減少している。
回答を見る
正解: B
質問 #5
ある企業が、ゼロデイ脆弱性に関連するリスクを以前から受け入れていた。同じ脆弱性が最近、同じ業界の別の組織に対する攻撃で悪用された。情報セキュリティマネジャーが最初に取るべき行動はどれか?
A. 可能性と影響の観点からリスクを再評価する。
B. ベストケースとワーストケースのシナリオを作成する
C. 相手組織の違反を経営幹部に報告する。
D. 脆弱性を修復するためのコストを評価する。
回答を見る
正解: B
質問 #6
情報セキュリティ運営委員会が新たなセキュリティ管理策の実施計画をレビューする主な理由は、以下のことを確認するためである:
A. その計画は、組織の事業計画と整合している。
B. 各部門の予算が適切に配分され、プランに充当される。
C. 規制監督要件が満たされている。
D. 計画が事業部門に与える影響は軽減される。
回答を見る
正解: A
質問 #7
ある組織の取締役会は、業界内の組織に対し、顧客機密情報を保護するための特定の保護措置を制定するよう求める最近の法律を知りました。取締役会は次にどのような行動を取るべきか?
A. 情報セキュリティーに何をすべきかを指示する。
B. 適切な解決策を決定するための調査
C. 経営陣にコンプライアンスに関する報告を求める
D. 何もない。情報セキュリティは理事会に報告しない
回答を見る
正解: C
質問 #8
組織の情報セキュリティリスクポジションの変化を評価するために、経営幹部への報告書として最も有用なものはどれか。
A. リスク登録
B. トレンド分析
C. 業界ベンチマーク
D. 経営行動計画
回答を見る
正解: B
質問 #9
セキュリティガバナンスの効果的な実施を最も阻害する状況はどれか。
A. 技術の複雑さ
B. 予算の制約
C. 相反するビジネスの優先順位
D. ハイレベルのスポンサーシップ
回答を見る
正解: D
質問 #10
最近の買収後、情報セキュリティマネジャーは、買収プロセスの早い段階で報告された未解決のリスクに対処するよう要請された。このマネジャーがとるべき行動として、最も適切なものはどれか。
A. 未解決のリスクを買収組織のリスク登録簿に追加する。
B. 被買収企業の未解決リスクを再評価する。
C. 未解決のリスクに対するリスク治療計画を再評価する。
D. 買収した企業のインフラの脆弱性評価を実施する。
回答を見る
正解: A
質問 #11
リスクマネジメント・プログラムが効果的であるために最も必要なものはどれか。
A. 柔軟なセキュリティ予算
B. 健全なリスクベースライン
C. 新たなリスクの発見
D. 正確なリスク報告
回答を見る
正解: C
質問 #12
情報セキュリティ・マネジャーは、セキュリティ評価指標を使用して評価する:
A. 情報セキュリティ・プログラムの実施。
B. セキュリティ・ベースラインのパフォーマンス
C. セキュリティリスク分析の有効性
D. インシデント対応チームの有効性
回答を見る
正解: C
質問 #13
資産価値を考慮する場合、情報セキュリティ管理者が情報セキュリティガバナンスにおける価値提供の測定に最も客観的な根拠を与えるのはどれか。
A. コントロールの数
B. 管理目標を達成するためのコスト
C. 統制の有効性
D. コントロールの試験結果
回答を見る
正解: D
質問 #14
ある事業活動に内在するリスクが許容リスク・レベルより低い場合、最善の行動方針は以下の通りである:
A. ビジネスの変化を監視する
B. 残留リスクレベルの見直し
C. コンプライアンスを経営陣に報告する
D. リスクを軽減するための管理策を実施する
回答を見る
正解: B
質問 #15
リスクを管理するためにリスク対応策を選択する場合、情報セキュリティ管理者は、リスクを低減することに主眼を置くべきである:
A. リスク許容度を満たすためのエクスポージャー。
B. 脅威の可能性
C. リスクの移転による金銭的損失
D. セキュリティの脆弱性の数
回答を見る
正解: A
質問 #16
重要なビジネスアプリケーションのセキュリティを低下させる可能性のあるコード改変の導入を防ぐために、最も効果的なのはどれか。
A. パッチ管理
B. 変更管理
C. セキュリティ・メトリクスD
回答を見る
正解: D
質問 #17
リスク軽減報告書には、以下のような提言が含まれる:
A. 評価。
B. 受け入れる。
C. 評価
D. 定量化。
回答を見る
正解: B
質問 #18
ウイルス検出ソフトウェアの有効性は、次のうちどれに最も依存するか?
A. パケットフィルタリング
B. 侵入検知
C. ソフトウェアのアップグレード
D. 定義表
回答を見る
正解: A
質問 #19
セキュリティリスクを特定する能力が向上していることを示す指標はどれか。
A. セキュリティ・インシデントの報告件数の増加。
B. 情報セキュリティトレーニングを必要とするスタッフの数が減少した。
C. 情報セキュリティリスク評価の回数が減少した。
D. セキュリティ監査上の問題解決件数が増加した
回答を見る
正解: A
質問 #20
事故の封じ込めに優先順位をつける第一の根拠は何か?
A. 法的および規制上の要件
B. 影響を受けた資産の回収費用
C. 影響を受ける資産の事業価値
D. 経営幹部からの意見
回答を見る
正解: A
質問 #21
ITリスクマネジメントプロセスの指標として最も適切なものはどれか。
A. リスク管理行動計画の数
B. 重要な資産のうち、予算措置が講じられている資産の割合。
C. 未解決のリスク・エクスポージャーの割合
D. 特定されたセキュリティインシデントの数
回答を見る
正解: B
質問 #22
DMZ内に置くべきデバイスはどれか。
A. ルーター
B. ファイアウォール
C. メールリレー
D. 認証サーバー
回答を見る
正解: B
質問 #23
限られた予算の中でどのセキュリティ対策を実施すべきかを判断するための最良の手法は何か。
A. リスク分析
B. 年率損失見込み(ALE)の計算
C. 費用便益分析
D. 影響分析
回答を見る
正解: C
質問 #24
ビジネスアライメントとセキュリティオーナーシップに加えて、情報セキュリ ティガバナンスにとって最も重要なものはどれか。
A. システムの監査可能性
B. ポリシーの遵守
C. セキュリティメトリクスの報告
D. エグゼクティブ・スポンサーシップ
回答を見る
正解: A
質問 #25
ビジネスインパクト分析では、情報システムの価値は、全体的なコストに基づくべきである:
A. 回復の
A.
B. 再構築する。
C. 利用できない場合
D. また、緊急作戦の博士号も取得している。
回答を見る
正解: C
質問 #26
モバイルデバイスが盗難にあった場合、データの漏洩を防ぐ最善の方法はどれか。
A. リモートワイプ機能
B. パスワード保護
C. 保険
D. 暗号化
回答を見る
正解: A
質問 #27
フォレンジック分析ツールに投資する必要性を正当化するために、情報セキュリティ管理者はFIRSTを行うべきである:
A. ソリューションの機能性と実装要件を確認する。
B. 同業他社におけるツール導入の比較レポートをレビューする。
C. そのようなツールが役に立つ状況の例を示す。
D. 組織のニーズを満たすための投資を立証する。
回答を見る
正解: D
質問 #28
経営会議への情報セキュリティ四半期報告書に記載する指標として、最も適切なものはどれか。
A. セキュリティ準拠サーバー動向報告
B. セキュリティ準拠サーバーの割合
C. セキュリティパッチ適用数
D. セキュリティパッチ適用傾向レポート
回答を見る
正解: D
質問 #29
アプリケーションの基礎となるコードに重大な変更を加えた後は、情報セキュリ ティマネージャにとって、次のことが最も重要である:
A. 経営幹部に報告する
B. リスクアセスメントを更新する
C. ユーザー受け入れテストの検証
D. 主要なリスク指標を修正する
回答を見る
正解: A
質問 #30
アプリケーションのデータ・アクセス要件は、アプリケーションによって決定されるべきである:
A. 法務部。
B. コンプライアンス・オフィサー
C. 情報セキュリティマネージャー
D. 経営者。
回答を見る
正解: D
質問 #31
情報分類スキームはこうあるべきだ:
A. セキュリティ侵害の影響を考慮する。
B. 電子形式の個人情報を分類する。
C. 情報セキュリティマネージャーが行う。
D. 処理するデータによってシステムを分類する。
回答を見る
正解: B
質問 #32
あるミッションクリティカルなシステムが、権限と名前のロックと変更を防止する属性を持つ管理システムアカウントを持っていることが確認された。このアカウントのブルートフォース(総当たり)攻撃を防ぐための最善の方法はどれか。
A. システムがリモートアクセスされないようにする D
B. 強力なランダムパスワードを作成する
C. ベンダーのパッチを要求する 監査証跡によってアカウントの使用状況を追跡する
回答を見る
正解: B
質問 #33
定期的なリスク評価を実施する最も重要な理由は、以下のとおりである:
A. リスク評価は必ずしも正確ではない。
B. セキュリティリスクは頻繁に変更される。
C. レビュアーは、コントロールの最適化とコスト削減ができる。
D. セキュリティ機能が付加価値を提供できることを経営幹部に示すことができる。
回答を見る
正解: B
質問 #34
新しいリスクアセスメント手法を導入する際、最も重要な要件はどれか。
A. リスクアセスメントは、認定されたスタッフによって実施されなければならない。
B. 方法論は最高経営責任者の承認を得なければならない。
C. リスクアセスメントは毎年見直さなければならない。
D. 使用される手法は、組織全体で一貫していなければならない。
回答を見る
正解: D
質問 #35
A. C
回答を見る
正解: B
質問 #36
あるグローバルな金融機関が、リスクアセスメントチームによって発見されたサービス拒否(DoS)リスクについて、これ以上の対策を講じないことを決定した。彼らがこの決定を下した最も可能性の高い理由は、以下の通りである:
A. このようなリスクが発生しないよう、十分な保護措置が講じられている。
B. 必要な対策が複雑すぎて展開できない。
C. 対策費用が資産の価値と潜在的損失を上回る。
D. リスクが発生する可能性は不明である。
回答を見る
正解: C
質問 #37
A. B
回答を見る
正解: A
質問 #38
メッセージの完全性、送信者の身元認証、および否認防止を提供するBESTはどれか。
A. 対称暗号
B. 公開鍵基盤(PKI)
C. メッセージハッシュ
D. メッセージ認証コード
回答を見る
正解: C
質問 #39
ビジネスプロセスオーナーによって管理されているアプリケーションレベルのセキュリティ管理が不十分であることが判明した場合、現在の実務を改善できるベストはどれか。
A. セキュリティ管理の一元化
B. コンプライアンス違反に対する制裁の実施
C. IT管理者によるポリシーの実施
D. 定期的なコンプライアンスレビュー
回答を見る
正解: D
質問 #40
誰が、情報セキュリティ・プログラムの策定を提唱し、その成 功を確保することができるだろうか。
A. 内部監査人
B. 最高執行責任者(COO)
C. 運営委員会
D. ITマネジメント
回答を見る
正解: A
質問 #41
誰が組織のリスク分析を進めるべきか?
A. 上級管理職
B. セキュリティマネージャーC
C. D
回答を見る
正解: B
質問 #42
アウトソーシング先が情報セキュリティ・プロセスの有効性を低下させる:
A. 情報セキュリティガバナンス活動の責任者
B. セキュリティ・サービス・レベルが満たされた場合、追加収入を得る。
C. セキュリティ・サービスレベル契約を満たさなかった場合、違約金が発生する。
D. 単一のアクセス制御ソフトウェア製品を標準化する。
回答を見る
正解: A
質問 #43
受容可能なリスクは、以下の場合に達成される:
A. 残留リスクは最小限に抑えられる。
B. 移転リスクは最小限に抑えられる。
C. コントロール・リスクは最小化される。
D. 固有のリスクは最小限に抑えられる。
回答を見る
正解: A
質問 #44
情報セキュリティをビジネスプロセスに組み込むことの重要性を経営陣に強調するために、新しく採用された情報セキュリティ担当者は、FIRSTを行うべきである:
A. セキュリティ予算を作成する。
B. リスクアセスメントを実施する。
C. 情報セキュリティポリシーを策定する。
D. ベンチマーク情報を得る。
回答を見る
正解: B
質問 #45
顧客記録が不正に改ざんされる事件が発生した。フォレンジック分析で最も懸念されるのは、ログデータである:
A. Aが開示された。
B. は一時的に利用できる。
C. 時間同期が取れていない可能性がある。
D. は修正される可能性がある。
回答を見る
正解: D
質問 #46
効果的なITガバナンスは、以下によって確保される:
A. ボトムアップ・アプローチを活用する。
B. IT部門による管理
C. その問題を組織の法務部門に照会する。
D. トップダウン・アプローチを活用している。
回答を見る
正解: D
質問 #47
組織の情報セキュリティプログラムとビジネス目標の整合性を促進する最も良い方法はどれか。
A. 情報セキュリティは、すべてのITプロジェクトの実現可能性の段階で考慮される。
B. 情報セキュリティガバナンス委員会には、主要な事業領域からの代表が含まれる。
C. 最高経営責任者は、情報セキュリティプログラムをレビューし、承認する。
D. 情報セキュリティプログラムは、内部監査部門によって監査される。
回答を見る
正解: B
質問 #48
2つのホスト間の中間者(MitM)攻撃を完全に防ぐ方法はどれか。
A. 認証にセキュリティー・トークンを使う
B. IPSec VPNで接続する
C. サーバー側の証明書を使用して https を使用する。
D. 静的メディアアクセス制御(MAC)アドレスの強制
回答を見る
正解: A
質問 #49
多国籍組織において、国際支店全体で一貫したセキュリティの展開を可能にするベストはどれか。
A. セキュリティ・プロセスの成熟度
B. 監査指摘事項の是正
C. 安全保障ガバナンスの分権化
D. 安全保障ガバナンスの確立
回答を見る
正解: D
質問 #50
情報セキュリティ・マネジャーは、国際的な組織のセキュリティ基準と現地の規制という、相反する可能性のある要件のバランスをどのようにとるのだろうか。
A. 地域の規制よりも組織の基準を優先する
B. 現地の規則のみに従うこと。
C. 現地の規制が抵触するような基準について、組織に認識させる。
D. ローカル版の組織基準について交渉する。
回答を見る
正解: D
質問 #51
ある組織の事業部門が、情報セキュリティプログラムの変更案に抵抗している。この問題に対処する最善の方法はどれか。
A. 追加のセキュリティ意識向上トレーニングの実施
B. 重要なリスク評価結果の事業部門管理者への伝達
C. C
D. 更新された情報セキュリティポリシーの公開
回答を見る
正解: B
質問 #52
オペレーティング・システムのセキュリティ上の弱点を防ぐのに最も効果的なのはどれか。
A. パッチ管理
B. 変更管理
C. セキュリティ・ベースライン
D. 構成管理
回答を見る
正解: C
質問 #53
侵入検知メカニズムの有効性を評価するための指標として、最も適切なものはどれか。
A. 検出された攻撃の数
B. 成功した攻撃回数
C. 偽陽性と偽陰性の比率
D. 成功した攻撃と失敗した攻撃の比率
回答を見る
正解: C
質問 #54
バイオメトリクスデバイスで管理された無人サーバールームへの物理的アクセスコンプライアンスを合理的に保証する上で、最も効果的な管理策はどれか。 C.
A. アクセス制御リストの定期的な見直し
B. 警備員による訪問者のエスコート 入口での訪問者登録記録
C. D
回答を見る
正解: B
質問 #55
社外の個人が企業データベース上の機密情報を変更できないようにするための、最も効果的なソリューションはどれか。
A. 選別されたサブネット
B. 情報分類の方針と手順
C. 役割ベースのアクセス制御
D. 侵入検知システム(IDS)
回答を見る
正解: D
質問 #56
ある組織で、最近、ネットワークへの不正なデバイスアクセスが発生した。この問題をプロアクティブに管理し、このリスクを軽減するために、最善の予防対策は以下のとおりである:
A. ネットワークに接続されているすべてのシステムのネットワークアドレスとハードウェアアドレスのインベントリーを管理する。
B. 不正なネットワークトラフィックを防ぐために、ステートフルインスペクションファイアウォールを設置する。
C. ネットワーク・レベルの認証とログインを実装し、ネットワークへのデバイスのアクセスを規制する。
D. ネットワークにアクセスするデバイスを特定するために、自動資産インベントリ発見ツールを導入する。
回答を見る
正解: B
質問 #57
インターネット上で送信される情報が本物であり、指定された送信者によって実際に送信されたものであることを保証するために一般的に使用されるのはどれか。
A. バイオメトリクス認証
B. 埋め込みステガノグラフィ 二要素認証
C. D
回答を見る
正解: C

送信後に回答を表示する

質問の回答を得るには、電子メールと WhatsApp を送信してください。

注: 正しい試験結果を得ることができるように、電子メール ID と WhatsApp が有効であることを確認してください。

Eメール:
WhatsApp/電話番号:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.