すべての情報を見逃したくないですか?

認定試験に合格するためのヒント

最新の試験ニュースと割引情報

当社の専門家による厳選最新情報

はい、ニュースを送ってください

現実的な模擬試験でISACA CISA試験のパフォーマンスを高める

公認情報システム監査人®(CISA®)は、組織内のITおよびビジネス・システムの監査、統制、監視、評価を行う専門家の達成基準として世界的に認められています。中途採用のプロフェッショナルにとって、CISA資格を取得することは、監査業務にリスクベースのアプローチを適用する専門知識を証明することになります。 SPOTOのISACA CISA問題集は資格認定を成功させるために重要な点を提供します。SPOTOのISACA CISA試験問題集は精確に実際試験の範囲を絞ります。SPOTOの試験準備教材は重要な概念の理解と習得を強化するように設計されていますから、試験への準備を完璧にすることができます。SPOTOの学習教材と試験リソースを利用することで、受験者は効果的に準備を進めることができ、自信を持ってCISA試験に合格することができます。さらに、SPOTOは、実際の試験状況をシミュレートする模擬試験を提供し、受験者が準備態勢を評価し、合格を達成するためにパフォーマンスを向上させることを可能にします。
他のオンライン試験を受ける
質問 #1
組織の事業継続計画(BCP)をレビューするIS監査人が最も関心を持つべきものはどれか?
A. BCPの連絡先を更新する必要がある。
B. BCPはバージョン管理されていない。
C. BCPが上級管理職によって承認されていない。
D. BCPは発行当初からテストされていない。
回答を見る
正解: D
質問 #2
サードパーティアプリケーションのパフォーマンスに関連するリスクを軽減する方法として、組織にとって最も適切なものはどれか。
A. サードパーティが要件を満たすために適切なリソースを割り当てていることを確認する。
B. 内部監査機能におけるアナリティクスの活用
C. キャパシティ・プランニングの実施
D. サービス・レベル・アグリーメント(SLA)を検証するためのパフォーマンス監視ツールの活用
回答を見る
正解: D
質問 #3
インシデント管理監査中に、IS監査人は監査期間中に複数の類似したインシデントが記録されていることを発見した。
A. 発見事項を文書化し、経営陣に提示する。
B. 根本原因分析が実施されたかどうかを判断する。
C. インシデントの解決時間を確認する。
D. すべてのインシデントが対処されたかどうかを検証する。
回答を見る
正解: B
質問 #4
あるIS監査人は、ある重要なシステムのキャパシティ・マネジメントが、ビジネスからのインプットなしにIT部門によって行われていることを発見した:
A. 設備を最大限に活用できなかった。
B. 事業のキャパシティ・ニーズの予期せぬ増加。
C. データセンターの過剰なストレージ容量のコスト
D. 今後の事業プロジェクトの資金調達への影響
回答を見る
正解: B
質問 #5
大組織向けのデータ盗聴防止(DIP)ソリューションを開発する際、FRSTステップとすべきはどれか。
A. 企業全体で承認されたデータワークフローを特定する。
B. 機密データ使用に対する脅威分析を実施する。
C. DLP pcJc
D. データのインベントリーと分類の実施
回答を見る
正解: D
質問 #6
ファイアウォールルール内で有効化された場合、次のサービスのどれが最も大きなリスクになりますか?
A. 簡易メール転送プロトコル(SMTP)
B. 単純オブジェクトアクセスプロトコル(SOAP)
C. ハイパーテキスト転送プロトコル(HTTP)
D. ファイル転送プロトコル(FTP)
回答を見る
正解: D
質問 #7
ある組織が、ユーザーが個人所有のデバイスを企業ネットワークに接続できるようにすることを検討している。
A. セキュリティ意識向上トレーニングを実施する。
B. 受諾可能な使用ポリシーを導入する。
C. 個人用デバイスの在庫記録を作成する
D. モバイルデバイス管理(MDM)ソリューションでユーザーを構成する
回答を見る
正解: B
質問 #8
アプリケーションシステムの導入後レビューを実施する場合、IS 監査人の独立性を損なう可能性が最も高いのはどれか。
A. IS監査人は、アプリケーションシステムのベストプラクティスに関するコンサルティングアドバイスを提供した。
B. IS監査人は、アプリケーションシステムプロジェクトチームのメンバーとして参加したが、運用責任は持っていなかった。
C. IS監査人は、アプリケーション・システムの監査専用の組み込み監査モジュールを設計した。
D. IS監査人は、アプリケーションシステムの開発中に特定のコントロールを実施した。
回答を見る
正解: D
質問 #9
次のうち、BYOD(Bring Your Own Device)プログラムの実施に関する監査の計画段階で、最も重要なインプットはどれでしょうか?
A. 過去の監査結果
B. リスクアセスメントの結果
C. 企業ネットワークに接続する個人用デバイスの目録
D. BYOD 許容ユーザー声明などのポリシー
回答を見る
正解: D
質問 #10
顧客データプライバシー監査を計画する際、IS監査人が最初に確認すべきはどれか。
A. 法的要件およびコンプライアンス要件
B. 顧客契約
C. データの分類
D. 組織の方針と手続き
回答を見る
正解: D
質問 #11
あるシステム管理者が最近、組織外からの侵入の試みが何度か失敗したことをIS監査人に報告した。このような侵入を検知するのに最も効果的なのはどれか。
A. ワンタイムパスワード付きICカードの使用
B. 定期的なログファイルの確認
C. ルーターをファイアウォールとして設定する
D. バイオメトリクス認証の導入
回答を見る
正解: C
質問 #12
ある組織では、従業員が個人所有のモバイルデバイスを業務に使用することを許可しています。従業員のプライバシーを損なうことなく情報セキュリティを維持するために、次のうちどれが最適でしょうか?
A. デバイスへのセキュリティ・ソフトウェアのインストール
B. 仕事環境とデバイス上の個人スペースの仕切り
C. ユーザーがアプリケーションを追加できないようにする
D. 勤務時間中の私的目的でのデバイス使用の制限
回答を見る
正解: B
質問 #13
ソフトウェア開発でポロ・タイピング・アプローチを使う最大のメリットは、以下のことにある:
A. システムの範囲変更を最小限に抑える。
B. ユーザーテストとレビューに割り当てられる時間を減らす。
C. 概念化し、要件を明確にする。
D. 品質保証(QA)テストの効率化
回答を見る
正解: C
質問 #14
複数のマクロを含むスプレッドシートの正確性を評価する際、IS監査人が確認すべき最も重要なものはどれか。
A. スプレッドシートの暗号化
B. バージョン履歴
C. マクロ内の数式
D. 主な計算の調整
回答を見る
正解: D
質問 #15
あるIS監査人が、ある組織がコスト効率のよい方法で、オンデマンドで新しいサーバーを追加できないことを発見した。
A. 既存のシステムの容量を増やす。
B. ハードウェアを新しい技術にアップグレードする。
C. IT 機能のために臨時契約労働者を雇う。
D. 仮想環境を構築する。
回答を見る
正解: D
質問 #16
ある組織が、データ処理機能をサービス・プロバイダーにアウトソーシングした。サービス・プロバイダーが組織の目的を継続的に満たしているかどうかを判断するのに、最も適切なものはどれか。
A. 事業者の人材育成プロセスの評価
B. サービス提供者の保険の妥当性
C. サービス・レベル・アグリーメント(SLA)に対するパフォーマンスのレビュー
D. 独立監査人による統制の定期監査
回答を見る
正解: D
質問 #17
異なるセキュリティ分類のデータを含むサーバーに最小特権の原則を適用する最も良い方法はどれか。
A. 使用頻度に基づくデータファイルへのアクセス制限
B. データ分類ポリシーを遵守するための利用者による正式な同意の取得
C. データ所有者が決定したアクセス制御の適用
D. スクリプト化されたアクセス制御リストを使用して、サーバーへの不正アクセスを防止する。
回答を見る
正解: C
質問 #18
ストレージ容量に限りがあるため、ある組織は、完了した低価値のトランザクションを含むメディアの実際の保存期間を短縮することを決定した。
A. この方針には、強力なリスクベースのアプローチが含まれている。
B. 保存期間により、期末監査時のレビューが可能となる。
C. 保存期間はデータ所有者の責任に従う。
D. 取引総額は財務報告に影響を与えない。
回答を見る
正解: C
質問 #19
アップグレードされた統合基幹業務(ERP)システムの導入において、本稼働を決定するために最も重要な検討事項は次のうちどれですか?
A. ロールバック戦略
B. テストケース
C. 実施後のレビュー目標
D. ビジネスケース
回答を見る
正解: D
質問 #20
ある組織が、月末の業務プロセスをサポートする新しいシステムを導入しようとしている。業務のダウンタイムを減らすために、最も効率的な導入戦略はどれか?
A. カットオーバー
B. 段階的
C. パイロット
D. パラレル
回答を見る
正解: C
質問 #21
新しいアプリケーションシステムの導入中にデータ変換と移行をレビューするIS監査人が、最も懸念すべきことはどれか。
A. データ変換は手作業で行われた。
B. 旧システムとデータのバックアップがオンラインで利用できない。
C. 変換中に不正なデータ変更が発生した。
D. 変更管理プロセスが正式に文書化されていなかった
回答を見る
正解: C
質問 #22
次のうち、新システムの導入に関して、ローン申請処理の完全性と正確性を最も保証するものはどれですか?
A. 新旧システムのコード比較
B. 新システムによる過去の取引の実行
C. 品質保証(QA)手順の見直し
D. 新システムへの残高・取引データのロード
回答を見る
正解: B
質問 #23
組織のラップトップコンピュータ上のデータを保護する方法として、最も適切なものはどれか。
A. 無効なUSBポート
B. フルディスク暗号化
C. 生体認証アクセス制御
D. 二要素認証
回答を見る
正解: C
質問 #24
ITガバナンスのフレームワークを導入するには、組織の取締役会が必要である:
A. IT技術的な問題に対処する。
B. すべてのITイニシアチブの情報を得る。
C. IT戦略委員会を設置する。
D. IT戦略を承認する。
回答を見る
正解: D
質問 #25
IS監査人が、組織の事業継続計画(BCP)に関連するプロセスやツールに最近加えられた変更の有効性を評価する際、何をレビューするのがBESTか?
A. 全試験結果
B. 完成したテスト計画
C. システム在庫の更新
D. 変更管理プロセス
回答を見る
正解: A
質問 #26
トランザクションと記録をコンピュータシステム障害直前の状態に戻すために、適切なカットオフが確立されていることを確認するBESTはどれか。
A. トランザクションファイルのバックアップコピーをオフサイトでローテーションする。
B. データベース管理システム(DBMS)を使用して、部分的に処理されたトランザクションを動的にバックアウトする。
C. システム・コンソールのログを電子形式で管理すること。
D. すべての送電線における双同期機能の確保
回答を見る
正解: D
質問 #27
データ整合性チェックで最も優れているのはどれか。
A. 1日に処理されるトランザクションのカウント
B. シーケンスチェックの実行
C. データを起点までさかのぼる
D. テストデータの準備と実行
回答を見る
正解: C
質問 #28
経営陣によって承認されるITポリシーの例外の数が多いことに関連する最も大きな懸念は、次のうちどれですか?
A. 例外はいつまでも続くだろう。
B. 例外はコンプライアンス違反となる可能性がある。
C. 例外はオペレーショナル・リスクのレベルを高める可能性がある。
D. 例外はプロセス効率に悪影響を与える可能性がある。
回答を見る
正解: B
質問 #29
データ分類プログラムを実施する際、最も重要なのはどれか。
A. データ分類レベルの理解
B. データ所有権の形式化
C. プライバシーポリシーの策定
D. 安全な保管容量の計画
回答を見る
正解: B
質問 #30
インスタントメッセージング(IM)システムに関連するマルウェアリスクを軽減するための最善の対策はどれか。
A. IMでの添付ファイルのブロック
B. 外部 IM トラフィックのブロック
C. 企業のIMソリューションのみを許可する
D. IMトラフィックの暗号化
回答を見る
正解: C
質問 #31
クロスサイト・スクリプティング(XSS)攻撃は、BESTによって防止される:
A. アプリケーションファイアウォールポリシー設定。
B. 3層のウェブアーキテクチャ
C. 安全なコーディングの実践
D. 業界共通のフレームワークの使用。
回答を見る
正解: C
質問 #32
予算の制約がある組織において、職務分掌の問題に対処する最も良い方法はどれか。
A. 定期的に職務をローテーションする。
B. 独立監査を実施する。
C. 臨時スタッフを雇う。
D. 補償制御を実施する。
回答を見る
正解: D
質問 #33
SQLインジェクションの脆弱性に対処するための最善の対策とは?
A. ユニコード翻訳
B. セキュア・ソケット・レイヤー(SSL)暗号化
C. 入力検証
D. デジタル署名
回答を見る
正解: C
質問 #34
テスト時に暗号化されたデータに対するブルートフォース攻撃が成功するリスクを評価する IS 監査人が、最も懸念するのは次の条件のどれですか?
A. 短い鍵長
B. ランダム鍵生成
C. 対称暗号の使用
D. 非対称暗号の使用
回答を見る
正解: A
質問 #35
IS監査人は、ある組織には質の高いセキュリティポリシーがあると結論づけた。次のうち、次に判断することが最も重要なのはどれか。そのポリシーは
A. 全従業員がよく理解している。
B. 業界標準に基づく
C. プロセスオーナーが開発する。
D. 頻繁に更新される。
回答を見る
正解: A
質問 #36
ディザスタリカバリのために相互サイトを使用するリスクとして、最も大きいものは次のうちどれですか?
A. 必要なときにサイトを利用できない
B. 復旧計画を現場でテストできない。
C. 現場での機器の互換性の問題
D. 組織のセキュリティ・ポリシーの不一致
回答を見る
正解: B
質問 #37
IS監査人が組織の情報セキュリティポリシーの妥当性を評価する際に、最も重要な考慮事項はどれか。
A. IT運営委員会議事録
B. 事業目標
C. IT戦術計画との整合性
D. 業界のベストプラクティスへの準拠
回答を見る
正解: B
質問 #38
大規模災害発生時に事業継続計画(BCP)を有効に機能させるための最も良い方法はどれか。
A. ビジネス機能ごとに詳細な計画を作成する。
B. 定期的なペーパーウォークスルーエクササイズに、あらゆるレベルのスタッフを参加させる。
C. ビジネス影響評価を定期的に更新する。
D. シニアマネジャーに各自のプランセクションの責任を負わせる。
回答を見る
正解: B
質問 #39
効果的なセキュリティ意識向上プログラムを策定する上で、最も重要なことはどれか。
A. トレーニング担当者は情報セキュリティの専門家である。
B. フィッシング演習はトレーニング後に行う。
C. 安全保障上の脅威のシナリオは、プログラム内容に含まれている。
D. プログラムの成果指標が確立されている。
回答を見る
正解: D
質問 #40
IS監査人は、あるベンダーが廃業し、エスクローが古いバージョンのソースコードを持っていることを発見した。
A. 現在のアプリケーションをムートさせる新しいアプリケーションを分析する。
B. ビジネスリスクを判断するための分析を行う。
C. エスクローのバージョンを最新にする。
D. 既存のコードを使用してアプリケーションをサポートするための保守計画を策定する。
回答を見る
正解: C
質問 #41
給与アプリケーションに関する監査指摘事項を受けて、経営陣は新しい自動化された統制を導入した。新しい統制の有効性を評価する際、IS監査人にとって最も役に立つのはどれか。
A. 実施前のテストスクリプトと結果の承認
B. プロセスとコントロールを定義した手順書
C. 承認されたプロジェクト範囲文書
D. 卓上演習の結果のレビュー
回答を見る
正解: B
質問 #42
サービスベンダーが顧客の要求通りの管理レベルを維持しているかどうかを検証する最も効果的な方法はどれか。
A. 合意された基準を用いて、定期的なオンサイト評価を実施する。
B. ベンダーとのサービスレベル合意書(SLA)を定期的に見直す。
C. ベンダーの IT システムの脆弱性評価を抜き打ちで実施する。
D. ベンダーの統制自己評価(CSA)の証拠を入手する。
回答を見る
正解: C
質問 #43
IS監査人は、IT部門とビジネス部門がアプリケーションサーバの可用性に関して異なる意見を持っていることに気づいた。
A. サービスレベルの正確な定義とその測定
B. アプリケーションサーバー上の警告と測定プロセス
C. 実質的なテストの一環としてのサーバーの実際の可用性
D. 定期的な業績報告書類
回答を見る
正解: A
質問 #44
銀行員による電信送金詐欺を防止する方法として、最も適切なものはどれか。
A. 独立した和解
B. 電信送金金額の再入力
C. 二要素認証制御
D. システムによる二重制御
回答を見る
正解: D
質問 #45
ある組織が最近、顧客に融資を行うためのインテリジェント・エージェント・ソフトウェアを導入した。導入後のレビューにおいて、IS監査人が実施すべき最も重要な手順はどれか。
A. トランザクションの正確性を確認するために、システムとエラーログをレビューする。
B. 入出力管理レポートを確認し、システム決定の正確性を検証する。
C. 署名された承認をレビューし、システムの決定に対する責任が明確に定義されていることを確認する。
D. システム文書をレビューし、完全性を確認する。
回答を見る
正解: B
質問 #46
新システムの導入中、IS監査人は特定の自動計算が規制要件に準拠しているかどうかを評価しなければならない。
A. サインオフ文書のレビュー
B. 計算に関連するソースコードを見直す
C. 監査ソフトで計算をやり直す
D. ユーザー受入試験(UAT)結果の検査
回答を見る
正解: C
質問 #47
機密データを含む外部向けシステムは、ユーザが読み取り専用または管理者権限を持つように構成されています。システムのほとんどのユーザが管理者権限を持っています。この状況に関連する最も大きなリスクはどれですか?
A. ユーザーはアプリケーションログをエクスポートできます。
B. ユーザーは機密データを見ることができる。
C. ユーザーは不正な変更を行うことができる。
D. ユーザーはオープンライセンスのソフトウェアをインストールできます。
回答を見る
正解: C
質問 #48
設計段階にあるプロジェクトが組織の目的を達成できるかどうかを判断する際、ビジネスケースと比較するBESTは何でしょうか?
A. 実施計画
B. プロジェクト予算規定
C. 要求分析
D. プロジェクト計画
回答を見る
正解: C
質問 #49
システム・インターフェイス間のデータ整合性の確保に最も役立つのはどれか。
A. 環境分離
B. 和解
C. システムのバックアップ
D. アクセス制御
回答を見る
正解: D
質問 #50
新システムのベネフィット実現度を測るのに最も役立つのはどれか?
A. ファンクションポイント分析
B. バランススコアカードのレビュー
C. 実施後のレビュー
D. ビジネスインパクト分析(BIA)
回答を見る
正解: A
質問 #51
年次監査計画プロセスの一環として、必ず完了しなければならないものはどれか。
A. ビジネスインパクト分析(BIA)
B. フィールドワーク
C. リスク評価
D. リスクコントロールマトリックス
回答を見る
正解: C
質問 #52
ITポートフォリオマネジメントの見直しを行う際に、最も重要な検討事項はどれか。
A. ITチームメンバーへの各プロジェクトの責任の割り当て
B. ベストプラクティスと業界が承認した手法の遵守
C. ITポートフォリオのリスクを最小化し、価値を最大化するためのコントロール
D. ビジネスがITポートフォリオについて議論するミーティングの頻度
回答を見る
正解: D
質問 #53
ビジネスアプリケーション開発プロジェクトの分析フェーズ後の要件変更リスクを管理するBESTはどれか。
A. プロジェクトの期限に間に合わせるために期待される成果物
B. ITチームからのサインオフ
C. 関係者による継続的な参加
D. 品質保証(OA)レビュー
回答を見る
正解: B
質問 #54
ある組織のリスク管理実務の監査中に、IS監査人が、文書化されたいくつかのITリスク許容が、指定された有効期限を過ぎても適時に更新されていないことを発見した。この発見の70%を評価する場合、関連する影響を最も大幅に最小化する緩和要因はどれか。
A. 業務プロセスに対する文書化された代償統制がある。
B. リスク・アクセプタンスは、事前に適切な上級管理職によってレビューされ、承認されている。
C. リスク・アクセプタンスが承認されて以来、事業環境に大きな変化はない。
D. 問題のあるリスク許容度は、全人口のごく一部を反映している。
回答を見る
正解: B
質問 #55
新システムの導入中、IS監査人が各マイルストーンにおけるリスク管理をレビューするよう任命された。監査人は、プロジェクトの利益に対するいくつかのリスクが対処されていないことを発見した。
A. エンタープライズ・リスク・マネージャー
B. プロジェクト・スポンサー
C. 情報セキュリティ責任者
D. プロジェクトマネージャー
回答を見る
正解: D
質問 #56
組織の個人情報保護プログラムの確立を支援する内部監査の役割として、適切なものはどれか。
A. 新規制がもたらすリスクの分析
B. 個人データの使用を監視する手順の開発
C. プライバシーに関する組織内の役割の定義
D. 個人データ保護のための管理設計
回答を見る
正解: A
質問 #57
データ伝送を伴うジョブスケジューリングプロセスの検出制御として、最も適切なものはどれか。
A. 毎月の仕事の失敗の量を示す指標は、経営幹部によって報告され、見直される。
B. ジョブは毎日完了するようにスケジュールされ、データはSFTP(Secure File Transfer Protocol)を使って転送される。
C. ジョブはスケジュールされ、この活動のログはその後のレビューのために保持される。
D. ジョブ障害アラートは自動的に生成され、サポート担当者に送られます。
回答を見る
正解: D
質問 #58
次のうち、是正処置にあたるものはどれか。
A. 装置開発テストと生産の分離
B. データ処理における重複計算の検証
C. 分離のためのユーザーアクセス権の見直し
D. 緊急時対応計画の実行
回答を見る
正解: D
質問 #59
監査契約を準備する際に、監査目的を文書化する主な目的は何ですか。
A. 審査対象の活動に関連する全体的なリスクに対処する。
B. 物質的な問題が発生する可能性が比較的高い地域を特定する。
C. 契約期間中、監査資源を最大限に活用できるようにする。
D. 受審者会議の優先順位付けと日程調整に役立てる。
回答を見る
正解: B
質問 #60
第三者のITサービス・プロバイダーが、組織の人事(HR)システムを外国でホスティングしていることを発見した場合、IS監査人はどのような勧告をするのがベストだろうか?
A. 身元確認を行う。
B. 第三者監査報告書をレビューする。
C. 変更管理の見直しを実施する。
D. プライバシー影響分析を行う。
回答を見る
正解: D
質問 #61
フォローアップ監査中に、あるIS監査人は、最初の監査以降に主要な管理要員が交代し、現経営陣が以前に受け入れたいくつかの勧告を実施しないことを決定したことを知った。
A. 監査委員長に通知する。
B. 監査マネージャーに通知する。
C. コントロールを再テストする。
D. 監査所見を閉じる。
回答を見る
正解: B
質問 #62
リスクアセスメントの次の構成要素のうち、経営陣が適用すべきリスク軽減のレベルを決定する上で最も役立つものはどれか?
A. リスクの特定
B. リスク分類
C. 統制自己評価(CSA)
D. 影響評価
回答を見る
正解: D
質問 #63
データ損失防止(DLP)監査の計画段階で、経営陣はモバイルコンピューティングに関する懸念を表明した。
A. ITの可用性に悪影響を与えるクラウドの利用
B. ユーザー意識向上トレーニングの必要性の高まり
C. いつでもどこでもアクセスできることによる脆弱性の増大
D. ITインフラとアプリケーションに対するガバナンスと監視の欠如
回答を見る
正解: C
質問 #64
組織ネットワークへの侵入が削除された場合、最初に行うべきことはどれか。
A. すべての危険なネットワークノードをブロックする。
B. 法執行機関に連絡する。
C. 上級管理職に通知する。
D. 侵害された ID ノード。
回答を見る
正解: D
質問 #65
売掛金取引の処理中に、顧客口座番号フィールドのデータ入力エラーを最も適切に検出できるアプリケーション入力管理はどれか。
A. リミットチェック
B. パリティチェック
C. 合理性チェック
D. 妥当性チェック
回答を見る
正解: C
質問 #66
監査指摘事項に関するフォローアップ活動の適切な期限を設定する際、最も重要な決定要因はどれか。
A. IS監査リソースの利用可能性
B. 経営陣の回答に含まれる改善時期
C. 事業活動のピーク時
D. 監査で特定されたビジネスプロセスの複雑さ
回答を見る
正解: C
質問 #67
フォローアップ監査において、低リスクの複雑なセキュリティ脆弱性が、合意された期限内に解決されなかったことが判明した。IT部門は、特定された脆弱性のあるシステムをリプレース中であり、2カ月以内に完全に機能する見込みであると述べています。
A. 新システムで発見事項に対処することを示す文書を要求する。
B. 上級管理職と問題を話し合うための会議を予定する。
C. 脆弱性が悪用されたかどうかを判断するために、アドホック監査を実施する。
D. 新システムを導入する前に、指摘事項を解決することを推奨する。
回答を見る
正解: C
質問 #68
ITガバナンスにおける効果的なリスク管理に必要なものはどれか。
A. リスク評価については、現地マネージャーのみが責任を負う。
B. ITリスクマネジメントは企業リスクマネジメントとは別物である。
C. リスク管理戦略は監査委員会によって承認される。
D. リスク評価は経営プロセスに組み込まれている。
回答を見る
正解: D
質問 #69
ITガバナンス監査において、IS監査人は、ITポリシーと手順が定期的に見直され、更新されていないことを指摘する。IS監査人が最も懸念するのは、方針と手順が更新されていないことである:
A. 現在の慣行を反映している。
B. 新しいシステムとそれに対応するプロセスの変更を含む。
C. 関連法の改正を取り入れる。
D. 適切な品質保証(QA)の対象であること。
回答を見る
正解: D
質問 #70
コントロール自己評価(CSA)ファシリテーターの主な役割は、以下のとおりである:
A. インタビューを行い、背景情報を得る。
B. チームを内部統制に集中させる。
C. 内部統制の脆弱性について報告する。
D. 管理上の弱点に対する解決策を提供する。
回答を見る
正解: B
質問 #71
IS監査人が監査フォローアップ活動を開始する前に実施しなければならないのはどれか。
A. 行動計画に含まれる活動に利用可能な資源
B. 最終報告書での経営陣の対応と、約束された実施日
C. ギャップと推奨事項をリスクの観点から表示したヒールマップ
D. 監査報告書に記載されたギャップおよび推奨事項の裏付けとなる証拠
回答を見る
正解: B
質問 #72
IS監査で、ファイアウォールが多くの攻撃の試みを認識できなかったことが判明した場合、監査人が推奨する最善の方法は、ファイアウォールとファイアウォールの間に侵入検知システム(IDS)を設置することである:
A. インターネット。
B. 非武装地帯(DMZ)。
C. 組織のウェブサーバー
D. 組織のネットワーク
回答を見る
正解: D
質問 #73
あるIS監査人が、アプリケーションサーバーに潜在的な脆弱性につながる一貫性のないセキュリティ設定があることを発見した。
A. 変更管理プロセスの改善
B. セキュリティ指標を確立する。
C. 侵入テストの実施
D. 構成レビューを実行する
回答を見る
正解: D
質問 #74
あるIS監査人が、ウェブ・アプリケーションのバリデーション・コントロールが、パフォーマンス向上のためにサーバーサイドからブラウザーに移されていることを発見した。
A. フィッシング。
B. サービス妨害(DoS)
C. 構造化クエリー言語(SQL)インジェクション
D. バッファオーバフロー
回答を見る
正解: D
質問 #75
組織の災害復旧計画(DRP)をレビューするIS監査人が、最も懸念すべきことはどれか?
A. DRPは上級管理職によって正式に承認されていない。
B. DRPはエンドユーザーに配布されていない。
C. ITインフラをアップグレードして以来、DRPは更新されていない。
D. DRPには、重要なサーバーのみの復旧手順が含まれています。
回答を見る
正解: C
質問 #76
生産スケジュールのレビュー中に、IS監査員は、あるスタッフが必須業務手順を遵守していないことを観察する。監査人の次のステップは次のとおりである:
A. 監査作業報告書にコンプライアンス違反を記載する。
B. コンプライアンス違反を指摘する監査メモを発行する。
C. 監査報告書にコンプライアンス違反を記載する。
D. 手順が守られなかった理由を特定する。
回答を見る
正解: D
質問 #77
IS監査人が最も懸念すべきことはどれか。
A. 調査結果は、経営陣には詳しく説明されなかった。
B. アンケートの質問は、ビジネスケースの範囲については触れていない。
C. 調査票のテンプレートでは、追加のフィードバックを提供することができなかった。
D. アンケートは実施から1カ月後に従業員に実施された。
回答を見る
正解: B
質問 #78
ある企業がシステム・パフォーマンス・モニタリング・ソフトウェアを購入し、導入した1ヵ月後、レポートが大きすぎたため、見直しも対処もされなかった。 最も効果的な対処策は、以下のとおりである:
A. 交換システムとパフォーマンス監視ソフトウェアを評価する。
B. システム監視ソフトの機能を、セキュリティ関連のイベントに限定する。
C. システムとパフォーマンス監視ソフトウェアを再インストールする。
D. 分析ツールを使用して、システムやパフォーマンス・モニタリング・ソフトウェアから例外レポートを作成する。
回答を見る
正解: B
質問 #79
次のアクセス権のうち、システム開発スタッフの新メンバーに付与された場合に、最も大きなリスクをもたらすものはどれか。
A. プログラム・ライブラリへの書き込みアクセス
B. 開発データライブラリへの書き込みアクセス
C. 本番プログラム・ライブラリへのアクセスを実行する
D. 開発プログラムライブラリへのアクセスを実行する
回答を見る
正解: A
質問 #80
IS監査人は、前年度の災害復旧テストが、サードパーティベンダーによって割り当てられたハードウェアが不十分であったために、予定された期間内に完了しなかったことを指摘した。
A. サービスレベル合意(SLA)
B. ハードウェア変更管理ポリシー
C. 問題の修正を示すベンダーのメモ
D. 最新のRACIチャート
回答を見る
正解: A
質問 #81
第三者コンサルタントが会計システムのリプレースを管理している。
A. データ移行は契約活動の一部ではない。
B. 年末報告間近の入れ替え
C. ユーザー部門がアクセス権を管理する。
D. 第三者コンサルタントによるテスト
回答を見る
正解: C
質問 #82
IS監査人が、ある注文処理システムのトランザクション処理時間が、メジャーリリース後に大幅に増加していることに気づいた。
A. キャパシティ・マネジメント計画
B. トレーニング計画
C. データベース変換結果
D. ストレステストの結果
回答を見る
正解: D
質問 #83
従業員がモバイル・デバイスを紛失し、企業の機密情報を紛失した。
A. 次のうち、情報漏えいを防げたのはどれですか?
B. モバイル機器でのデータ暗号化
C. モバイルデバイス用の複雑なパスワードポリシー
D. リモートデータ消去機能の発動
E. モバイル機器利用者への意識向上トレーニング
回答を見る
正解: A
質問 #84
国際的な組織がグローバルなデータプライバシー方針を展開しようとするとき、IS監査人が最も懸念すべきことはどれか。
A. 要件が不合理になる可能性がある。
B. この方針は、既存の申請要件に抵触する可能性がある。
C. 現地の規制が本方針と矛盾する場合がある。
D. 現地の経営陣はその方針を受け入れないかもしれない。
回答を見る
正解: C
質問 #85
フォローアップ監査中に、IS監査人は、いくつかの重要な推奨事項がIS監査人の最善の行動方針であることを発見した?
A. 受審者に勧告に完全に対処することを要求する。
B. それに応じて年間リスク評価を調整する。
C. 上級管理職のリスク受容度を評価する。
D. 経営陣のリスク許容度に基づいて監査プログラムを更新する。
回答を見る
正解: B
質問 #86
RSA暗号化を使用して作成されたデジタル署名によって提供される制御を、最も危険にさらす可能性が高いのはどれか。
A. ダイジェストを使ったハッシュ関数の反転
B. 平文メッセージの改ざん
C. 受信者の公開鍵の解読
D. 送信者の秘密鍵の取得
回答を見る
正解: D
質問 #87
データウェアハウス(DW)管理において、ソースシステムからの変更に起因するデータ品質の問題を防ぐ最善の方法は何か?
A. データウェアハウスとソースシステム間の差異をチェックするために、データ品質アラートを構成する。
B. 2つのシステム間の抽出/転送/ロード(ETL)プロセスの変更の承認を必要とする。
C. 影響分析にデータウェアハウスを含める(または、ソースシステムの変更も含める
D. 2つのシステム間の抽出/転送/ロード(ETL)プロセスにおける変更へのアクセスを制限する。
回答を見る
正解: B
質問 #88
次のうち、事故発生時の法的手続きを最も円滑に進めるものはどれか?
A. eディスカバリー実施権
B. 法律顧問からの助言
C. チェーン・オブ・カストディの保存
D. 根本原因分析の結果
回答を見る
正解: C
質問 #89
ある組織が買収を計画しており、IS監査人にターゲット企業のITガバナンスフレームワークの評価を依頼している。
A. IT能力と成熟度の評価報告書の販売
B. 競合他社とのITパフォーマンス・ベンチマーク・レポート
C. 最近の第三者IS監査報告書
D. 現在および過去のIS内部監査報告書
回答を見る
正解: C
質問 #90
IS監査人は、ある組織のコンピュータが犯罪に使用された可能性があると疑っている。
A. コンピュータを調べ、疑惑を裏付ける証拠を探す。
B. 捜査後、経営陣に犯罪について助言する。
C. インシデント対応チームに連絡し、調査を行う。
D. さらなる捜査の前に、地元の警察当局に犯罪の可能性を通知する。
回答を見る
正解: C
質問 #91
フォレンジック調査中に収集された電子証拠が、将来の法的手続きで認められるようにするために、最も重要なものはどれか。
A. 専門的に認定された法医学捜査官への証拠品アクセスの制限
B. フォレンジック調査全体を通して、職員による証拠の取り扱いを文書化すること。
C. ハードドライブのイメージではなく、オリジナルのハードドライブに対して調査手順を実行すること。
D. 独立した第三者にフォレンジック調査を依頼すること。
回答を見る
正解: B
質問 #92
IS監査人が実施後のレビューを行う主な理由はどれか。
A. ビジネスケースのプロジェクト目標が達成されたかどうかを判断する。
B. 主要な利害関係者の署名を確実に得る。
C. プロジェクトの目的とビジネスニーズを一致させる
D. 今後のプロジェクト遂行を改善するために学んだ教訓を文書化する。
回答を見る
正解: A
質問 #93
次のうち、IS監査人が、データ廃棄管理がビジネス戦略目標をサポートしていることを最も保証できるものはどれか。
A. メディアリサイクル方針
B. メディア・サニタイゼーション・ポリシー
C. メディア表示ポリシー
D. メディアシュレッダーポリシー
回答を見る
正解: A
質問 #94
ある組織は成熟したリスクマネジメントの手法を開発し、全部門でそれに従っている。 このリスクマネジメントの成熟度を活用するために、監査チームにとって最も効果的な方法は何か?
A. 経営陣に代わってリスク対応を実施する
B. 監査計画のためのリスク登録の統合
C. リスクに関する経営陣への保証の提供
D. 監査リスクの識別と評価のワークショップの促進
回答を見る
正解: B
質問 #95
RAOモデルでは、次のどの役割を1人の個人にのみ割り当てなければならないか。
A. 責任
B. インフォームド
C. 相談
D. 説明責任
回答を見る
正解: D
質問 #96
IS監査で合意されたアクションプランが確実に実施されるようにするための、組織にとって最も効果的な方法はどれか。
A. 所有権の割り当てを確認する。
B. 完了後、是正処置をテストする。
C. 十分な監査資源が割り当てられていることを確認する。
D. 監査結果を組織全体に伝達する。
回答を見る
正解: A
質問 #97
ある消費者サービス機関のために、ベンダーが新しいシステムを開発中である。そのベンダーは、システム開発が完了した後、自社独自のソフトウェアを提供する予定です。 継続性を確保するために、ベンダーとの契約に含めるべき要件として、最も重要なものはどれですか?
A. 年中無休の継続的なサポートが受けられること。
B. ベンダーは、文書化された災害復旧計画(DRP)を備えていなければならない。
C. ソフトウェアのソースコードを預託しなければならない。
D. ベンダーは、新しいソフトウェアを管理するために組織のスタッフを訓練しなければならない。
回答を見る
正解: C
質問 #98
レガシー人事(HR)システムからクラウドベースのシステムへのデータ移行に関連するセキュリティリスクとして、最も大きいものはどれか。
A. ソースシステムおよびターゲットシステムからのデータが傍受される可能性がある。
B. ソースシステムとターゲットシステムのデータは、データ形式が異なる場合がある。
C. 保存期間を過ぎた記録は、新システムに移行できない。
D. マイグレーションによりシステムパフォーマンスに影響が出る可能性がある
回答を見る
正解: A
質問 #99
報告された指摘事項を、関連する行動計画、所有者、目標期日とともに公表することを要求する監査アプローチの主な利点は何か?
A. 監査のフォローアップが容易になる
B. 監査人と被監査人の間でアクションプランのコンセンサスを強制する。
C. 行動計画に対する説明責任を確立する。
D. 調査結果の事実の正確性を確保するのに役立つ。
回答を見る
正解: C
質問 #100
脆弱性スキャンプロセスの完全性を判断する際に、検証することが最も重要なものはどれか。
A. 組織のシステムインベントリが最新に保たれている。
B. 脆弱性スキャンの結果はCISOに報告される。
C. 組織は、脆弱性の特定にクラウドホスティングのスキャンツールを使用している。
D. 脆弱性スキャンツールへのアクセスは定期的に見直される。
回答を見る
正解: B
質問 #101
ソフトウェア開発プロジェクトの設計段階において、IS監査人の主な責任は、ソフトウェア開発プロジェクトを評価することである:
A. アプリケーションの将来的な互換性。
B. アプリケーションの提案機能
C. システム仕様に組み込まれた制御。
D. 採用した開発手法
回答を見る
正解: C
質問 #102
互換性のあるデータウェアハウス形式へのデータのコピーと変換に使用する環境として、最も適しているものはどれか。
A. テスト
B. レプリケーション
C. ステージング
D. 開発
回答を見る
正解: C
質問 #103
プロジェクトポートフォリオを見直す際に、経営陣が考慮すべき指標として最も有用なものはどれか。
A. プロジェクトのコストをITコスト合計で割ったもの
B. 期待リターン÷総事業費
C. ポートフォリオの正味現在価値(NPV)
D. 各プロジェクトの総費用
回答を見る
正解: C
質問 #104
定型業務を自動化するためにロボティック・プロセス・オートメーション(RPA)を導入する組織の計画をレビューする際、IS監査人が確認すべき最も重要な事項はどれか。
A. エンド・ツー・エンドのプロセスが理解され、文書化されている。
B. 対象範囲のビジネスプロセスについて、役割と責任が定義されている。
C. RPAを使用している同業他社のベンチマーキングが完了した。
D. 資格のある業者に対して提案依頼書(RFP)が発行された。
回答を見る
正解: B
質問 #105
ある組織のソフトウェア開発者は、特定のデータ形式で保存された個人を特定できる情報(Pll)にアクセスする必要がある。開発者が開発環境とテスト環境でこの機密情報を使用できるようにしながら、この機密情報を保護する最も良い方法はどれか。
A. データのマスキング
B. データのトークン化
C. データの暗号化
D. データの抽象化
回答を見る
正解: A
質問 #106
ある組織が、収益性向上のために事業体を分割するという戦略的決定を行った。しかし、ITインフラストラクチャは事業体間で共有されたままである。IS監査が年次計画の一環としてIT環境内の主要なリスク領域を引き続きカバーすることを確実にするために、次のうち最も役立つものはどれか。
A. 各事業体に対するリスクベースのIS監査頻度の増加
B. 各企業の業務プロセスを考慮したリスクベースの計画の策定
C. 新しく導入されたITポリシーと手順の監査の実施
D. 分割後に導入されたIT変更に焦点を当てたIS監査計画の見直し
回答を見る
正解: D
質問 #107
トップダウンの成熟度モデルプロセスを活用した結果は、次のうちどれでしょう?
A. 同業他社との類似プロセスの有効性をベンチマークする手段
B. 企業内の他のプロセスの有効性を比較する手段
C. タイムリーなレビューを確保するための、より古く確立されたプロセスの特定
D. 改善の機会が最も多いプロセスの特定
回答を見る
正解: D
質問 #108
有用であるためには、主要業績評価指標(KPI)は、以下のことを満たさなければならない。
A. 経営陣の承認を得る。
B. パーセントで測定可能である。
C. 組織の戦略を反映させるために、頻繁に変更される。
D. 目標値がある。
回答を見る
正解: C
質問 #109
次の文書のうち、職務分掌の弱点を発見する上で最も有用なものはどれか。
A. システムフローチャート
B. データフロー図
C. プロセスフローチャート
D. 実体関係図
回答を見る
正解: C
質問 #110
是正テストを次の監査まで延期する正当な理由として、最も適切なものはどれか。
A. 監査を実施し、タイムラインに同意した監査人が組織を去った。
B. 経営陣の計画した行動は、指摘事項の相対的重要性を考慮すれば十分である。
C. 受審者経営陣は、監査人から報告されたすべての指摘事項を受け入れた。
D. 監査環境は大きく変わった。
回答を見る
正解: D
質問 #111
組織の情報セキュリティポリシーをレビューする場合、IS監査人は、そのポリシーが第一義的に以下に基づいて定義されていることを検証すべきである:
A. リスク管理プロセス。
B. 情報セキュリティフレームワーク
C. 過去の情報セキュリティインシデント
D. 業界のベストプラクティス
回答を見る
正解: B
質問 #112
実施後のレビューにおいて、IS監査人が最も留意すべきことはどれか。
A. このシステムには保守計画がない。
B. このシステムにはいくつかの小さな欠陥がある。
C. システムの配備は3週間遅れた。
D. システムは予算を15%超過した。
回答を見る
正解: A
質問 #113
IS監査によって、ある組織が既知の脆弱性に積極的に対処していないことが明らかになった。
A. 災害復旧計画(DRP)がテストされていることを確認する。
B. 侵入防御システム(IPS)が有効であることを確認する。
C. ビジネスに対するセキュリティリスクを評価する。
D. インシデント対応チームが問題を理解していることを確認する。
回答を見る
正解: C
質問 #114
IS 監査の専門家が監査機能を実行するための最も適切な情報源はどれか。
A. 監査憲章
B. ITステアリング委員会
C. 情報セキュリティ方針
D. 監査のベストプラクティス
回答を見る
正解: A
質問 #115
IS監査人がある組織の情報資産管理プロセスをレビューしている。監査人が最も懸念するのは次のうちどれか?
A. このプロセスでは、資産の物理的な場所を特定する必要はない。
B. プロセスの所有権が確立されていない。
C. このプロセスには資産の見直しは含まれない。
D. 資産価値の特定がプロセスに含まれていない。
回答を見る
正解: B
質問 #116
プロジェクト・コストの見積もりを計算するために、スプレッドシートを使用している。その後、各費用区分の合計が職務原価計算システムに入力される。データがシステムに正確に入力されていることを確認するための最善の管理方法は何か?
A. プロジェクト別合計金額の調整
B. 有効性チェック、文字データの入力防止
C. 各費用タイプの妥当性チェック
D. 入力後のプロジェクト詳細の表示
回答を見る
正解: A
質問 #117
新しいシステム実装における並列処理の主な利点はどれか。
A. 新システムが機能要件を満たしていることの保証
B. ユーザーが新システムのトレーニングを完了する時間を増やす。
C. 他のシステム導入やアプローチに比べ、大幅なコスト削減が可能。
D. 新システムが性能要件を満たしていることの保証
回答を見る
正解: A
質問 #118
企業電子メールの公開鍵基盤(PKI)をレビューするIS監査人が、最も懸念すべきことはどれか。
A. 証明書失効リストが更新されていない。
B. PKI ポリシーは過去 1 年以内に更新されていない。
C. 秘密鍵証明書が更新されていない。
D. 証明書に関する声明は公表されていない。
回答を見る
正解: A
質問 #119
主に組織の監査チャリア:
A. 監査人の監査実施権限について記述している。
B. 監査人の行動規範を定義する。
C. 年次および四半期の監査計画を正式に記録する。
D. 監査プロセスと報告基準を文書化する。
回答を見る
正解: A
質問 #120
データ品質に関連するIT統制リスクを受け入れるかどうかの決定は、その責任者が行うべきである:
A. 情報セキュリティチーム。
B. IS監査マネージャー。
C. 最高情報責任者(CIO)。
D. 経営者。
回答を見る
正解: D
質問 #121
IS監査人がデータ分析技術を使用する主な理由は、どのタイプの監査リスクを低減するためですか?
A. 技術リスク
B. 検出リスク
C. コントロールリスク
D. 内在的リスク
回答を見る
正解: B
質問 #122
インスタントメッセージ(IM)アプリケーションを介した外部へのファイル転送を防止するための制御として、最も適切なものはどれか。
A. ファイルレベルの暗号化
B. ファイル転送プロトコル(FTP)
C. インスタントメッセージングポリシー
D. アプリケーションレベルファイアウォール
回答を見る
正解: D
質問 #123
ITスタッフの能力開発計画をIT戦略と整合させるためには、次のうちどれを最初に行うべきか?
A. ITスタッフの職務記述書を見直し、整合性を図る。
B. 各 IT スタッフのための四半期ごとのトレーニングを開発する。
C. 主要なビジネスプロセスをサポートするために必要なITスキルセットを特定する。
D. 戦略目標をITスタッフのパフォーマンス目標に含める
回答を見る
正解: C
質問 #124
ある組織のITポートフォリオを見直したところ、使われていないアプリケーションがいくつか見つかりました。このような状況の再発を防ぐ最善の方法は、導入することである。
A. 正式な提案依頼(RFP)プロセス
B. ビジネスケース作成手順
C. 情報資産取得方針
D. 資産のライフサイクル管理。
回答を見る
正解: D
質問 #125
データセンターの閉回路テレビ(CCTV)監視カメラに関する次の問題のうち、IS監査人が最も関心を持つべきものはどれか。
A. CCTVの記録は定期的に見直されていない。
B. 休憩室にはCCTVカメラを設置しない。
C. CCTVの記録は1年後に削除される。
D. CCTVの映像は24時間365日録画されているわけではありません。
回答を見る
正解: A
質問 #126
ペネトレーションテストを計画する際、最初に行うべきことはどれか。
A. 秘密保持契約(NDA)を締結する。
B. 脆弱性に関する報告要件を決定する。
C. テスト範囲を定義する。
D. 検査に対する管理者の同意を得る。
回答を見る
正解: D
質問 #127
IS監査人は、ある組織の買掛金プロセスの監査を計画している。監査で評価することが最も重要な統制はどれか。
A. 発注書の発行と支払いの間の職務の分離。
B. 請求書の受領と承認限度額の設定との間の職務の分離
C. 経営陣による承認階層のレビューと承認
D. 購買発注書の管理者によるレビューと承認
回答を見る
正解: A
質問 #128
フォレンジックデータの収集と保存手順において、最も重要なものはどれか?
A. 機器の物理的セキュリティの確保
B. データの完全性の保持
C. チェーン・オブ・カストディの維持
D. 使用するツールの決定
回答を見る
正解: B
質問 #129
監査分析で使用されるテスト手順の品質と完全性を最も確実にするものはどれか。
A. テスト手順のベストプラクティスの開発と監査チームへの伝達
B. 監査データリポジトリの開発と実装
C. 手続きの分散化と定期的なピアレビューの実施
D. 手順の一元化と変更管理の実施
回答を見る
正解: D
質問 #130
ある組織のエンタープライズアーキテクチャ(EA)部門が、レガシーシステムのコンポーネントを元の機能を維持したまま変更することを決定した。この決定をレビューする際に、IS監査人が理解すべき最も重要なものはどれか。
A. レガシーシステムが提供する現在のビジネス機能
B. 再設計されたシステムで使用されるネットワーク・トポロジー案
C. 再設計されたシステムで使用されるコンポーネント間のデータの流れ。
D. レガシーシステム内のデータベースエンティティの関係
回答を見る
正解: A
質問 #131
エンドユーザーコンピューティング(EUC)アプリケーションにバージョン管理を導入する最も重要な理由はどれか。
A. 古いバージョンも参照できるようにする
B. 承認された最新バージョンのアプリケーションのみが使用されるようにすること。
C. 異なるバージョンのアプリケーションの互換性を確保する
D. 許可されたユーザーだけがアプリケーションにアクセスできるようにする
回答を見る
正解: B
質問 #132
あるIS監査人が、基幹業務システム(ERP)の導入後レビューを行っている。エンドユーザは、システムによる重要な自動計算の精度に懸念を示した。監査人の最初の行動方針は次のとおりである:
A. システムの最近の変更を見直す。
B. ユーザー受け入れテスト(UAT)の完全性を検証する。
C. 結果を検証し、ユーザーの懸念の妥当性を判断する。
D. 初期のビジネス要件をレビューする。
回答を見る
正解: C
質問 #133
次のうち、セキュリティ指標ダッシュボードの実装によって対処できる経営幹部の懸念事項はどれか。
A. セキュリティ・プログラムの有効性
B. セキュリティインシデントと業界ベンチマークの比較
C. 警備予算総時間数
D. 偽陽性の総数
回答を見る
正解: A
質問 #134
組織のIT戦略がビジネス目標と整合していることを示す証拠として、最も適切なものはどれか。
A. IT戦略は組織の変化に応じて修正される。
B. IT戦略は経営幹部によって承認される。
C. IT戦略はIT運用のベストプラクティスに基づいている。
D. IT戦略はビジネス戦略に大きな影響を与える
回答を見る
正解: A
質問 #135
フォローアップ活動の実施中に、IS監査人は、経営者が監査部門と当初議論し合意した是正処置とは異なる是正処置を実施したことを懸念する。このような状況を解決するために、IS監査人がとるべきBESTな行動は次のとおりである:
A. 元の問題を高リスクとして再優先し、上級管理職にエスカレーションする。
B. 次の監査サイクルでフォローアップ監査を予定する。
C. フォローアップ活動を延期し、代替管理策を上級監査マネジメントにエスカレーションする。
D. 代替策が十分にリスクを軽減しているかどうかを判断する。
回答を見る
正解: D
質問 #136
IS監査人は、ある銀行の顧客の個人データと財務データを含む、最近移行されたデータベースシステムのセキュリティを評価するよう依頼された。
A. デフォルトの設定が変更されました。
B. データベース内のすべてのテーブルが正規化されている。
C. データベースサーバーが使用するサービスポートが変更されました。
D. アカウントのパスワードを変更すると、デフォルトの管理アカウントが使用されます。
回答を見る
正解: A
質問 #137
インターネットトラフィックを不正なWebサイトにリダイレクトする攻撃を軽減するコントロールとして、最も適切なものはどれか。
A. ネットワークベースのファイアウォールを利用する。
B. 定期的なセキュリティ意識向上トレーニングを実施する。
C. ドメインネームシステム(DNS)サーバーのセキュリティハードニングを実行する。
D. 複雑さの要件を満たす強力なパスワードポリシーを実施する。
回答を見る
正解: C
質問 #138
あるアプリケーションに悪意のあるプログラムコードが見つかり、本番環境へのリリース前に修正された。リリース後、同じ問題が報告された。IS監査人が推奨する最善の方法はどれか。
A. 修正されたプログラムコードが専用サーバーでコンパイルされていることを確認する。
B. 変更管理レポートが独立してレビューされていることを確認する。
C. プログラム編集完了後、プログラマがコードにアクセスできないようにする。
D. エンドツーエンドのユーザー受け入れテスト(UAT)の結果について、ビジネスが確実にサインオフする。
回答を見る
正解: A
質問 #139
買掛金管理部門における適切な職務分掌を確保するための管理BESTはどれか。
A. ユーザーセキュリティプロファイルによるプログラム機能の制限
B. 更新プログラムへのアクセスを買掛金担当者のみに制限する。
C. 作成されたすべてのトランザクションレコードのフィールドとして、作成者のユーザーIDを含める。
D. トランザクションの監査証跡の確保
回答を見る
正解: A
質問 #140
ネットワークの脆弱性の外部評価において、最も重要な確認事項は何か?
A. セキュリティ情報イベント管理(SIEM)ルールの更新
B. ネットワークセキュリティポリシーの定期的な見直し
C. ネットワーク資産目録の完全性
D. 侵入検知システム(IDS)の設置場所
回答を見る
正解: C
質問 #141
次のうち、探偵コントロールはどれか?
A. データ入力時のプログラムによる編集チェック
B. バックアップ手順
C. 物理的施設にアクセスするためのパスカードの使用
D. ハッシュ合計の検証
回答を見る
正解: D
質問 #142
あるオンライン小売業者が、自社のウェブサイトで注文した商品と異なる商品が届いたという苦情を顧客から受けている。根本的な原因はデータ品質の低さにある。システムから誤ったデータを削除する努力にもかかわらず、複数のデータ品質の問題が発生し続けています。今後発生する可能性を減らすための最善の方法は、次の推奨事項のどれでしょうか?
A. データ品質向上のための責任を割り当てる。
B. データ入力のための追加的な従業員トレーニングに投資する。
C. データクレンジング作業を信頼できる第三者に委託する。
D. 従業員のデータ入力を検証するビジネスルールを導入する。
回答を見る
正解: D
質問 #143
IS監査で、ファイアウォールが多くの攻撃の試みを認識できなかったことが判明した場合、監査人が推奨する最善の方法は、ファイアウォールとファイアウォールの間に侵入検知システム(IDS)を設置することである:
A. 組織のウェブサーバー。
B. 非武装地帯(DMZ)。
C. 組織のネットワーク
D. インターネット
回答を見る
正解: C
質問 #144
新しく導入されたコールセンター内の統制を評価するIS監査人は、まず次のことを行うだろう。
A. 応答時間やサービスの質に関して、顧客から情報を収集する。
B. コールセンターの手動および自動制御を見直す。
C. コールセンターの技術インフラをテストする。
D. コールセンターに関連するオペレーショナル・リスクを評価する。
回答を見る
正解: D
質問 #145
経営陣は、今後数年以内に当組織のデータセンター付近で洪水が発生する可能性があり、そのリスクが高いことを示す情報を入手した。その結果、データセンターの業務を高台にある別の施設に移転することが決定された。
A. リスク回避
B. リスク移転
C. リスクの受容
D. リスクの軽減
回答を見る
正解: A
質問 #146
プロジェクトマネジメントオフィス(PMO)が実施した実施後レビュー(PIR)が効果的であったかどうかを判断するのに最適なものはどれか。
A. 教訓は実行に移された。
B. 経営陣はPIR報告書を承認した。
C. 審査は外部のプロバイダーによって行われた。
D. プロジェクトの成果が実現した。
回答を見る
正解: D
質問 #147
シグネチャベースの侵入検知システム(lDS)の有効性を示す指標として、最も適切なものはどれか。
A. 識別された偽陽性の数の増加
B. 過去に確認されなかったインシデントの増加
C. 不慣れな侵入者の増加
D. 社内で報告された重大インシデントの増加
回答を見る
正解: B
質問 #148
ある監査で、コンピュータシステムが発注依頼に連続した発注番号を割り当てていないことが指摘された。IS監査人は、経営者がこの発見を留保しているかどうかを判断するために、監査のフォローアップを実施しています。
A. 順序番号の連番を導入するための再変更の文書を見直す。
B. システムが連続受注番号を生成するように設定され、テストされているかどうかを管理者に問い合わせる。
C. システム設定とトランザクションログを調べ、連続した注文番号が生成されているかどうかを確認する。
D. 経営陣から入手した、システムで作成された発注書のサンプルを調査する。
回答を見る
正解: C
質問 #149
組織の情報セキュリティ管理を見直す際に、最も重要な発見は何か?
A. 専任の警備担当者がいない
B. 情報セキュリティマネジメントシステムに公式なチャリがない。
C. 脅威と脆弱性を特定するための定期的な評価なし
D. 従業員の意識向上トレーニングや教育プログラムがない
回答を見る
正解: D
質問 #150
ブラックボックス侵入テストを計画する際に、最も重要なことはどれか。
A. 顧客組織の経営陣は、テストを認識している。
B. 検査結果は文書化され、経営陣に通知される。
C. 環境と侵入テストの範囲が決定された。
D. 組織のネットワーク・アーキテクチャの図がある。
回答を見る
正解: A
質問 #151
フォローアップ契約に先立ち、あるIS監査人は、経営者がある監査指摘事項に関する残存リスクを是正せずに受け入れることを決定したことを知りました。IS監査人は、経営者の決定を懸念しています。IS監査人の次の行動はどれですか?
A. 経営陣の決定を受け入れ、フォローアップを継続する。
B. IS監査マネジメントに問題を報告する。
C. 意見の相違を理事会に報告する。
D. 経営陣に問題を提示する。
回答を見る
正解: B
質問 #152
ランサムウェア攻撃の影響を軽減する最も良い方法はどれか?
A. 災害復旧計画(DRP)の発動
B. 頻繁にデータをバックアップする
C. 身代金の支払い
D. 管理者アカウントのパスワード変更を要求する
回答を見る
正解: B
質問 #153
ITリソース支出が、計画されたプロジェクト支出と整合しているかどうかを判断する最善の方法は何か?
A. アーンドバリュー分析(EVA)
B. 投資利益率(ROI)分析
C. ガントチャート
D. クリティカルパス分析
回答を見る
正解: A

送信後に回答を表示する

質問の回答を得るには、電子メールと WhatsApp を送信してください。

注: 正しい試験結果を得ることができるように、電子メール ID と WhatsApp が有効であることを確認してください。

Eメール:
WhatsApp/電話番号:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.