すべての情報を見逃したくないですか?

認定試験に合格するためのヒント

最新の試験ニュースと割引情報

当社の専門家による厳選最新情報

はい、ニュースを送ってください

リアルな模擬試験でISACA CRISC試験のパフォーマンスを高める

Certified in Risk and Information Systems Control (CRISC) 認定資格の取得は、リスクマネジメントの専門家にとって貴重な財産です。CRISC試験の準備をするのは大変な作業ですが、適切な学習教材と試験資料で成功すれば、合格する確率を高めることができます。SPOTOはCRISC試験の目標に合わせたCRISC試験問題集、試験問題集、模擬試験及び試験準備資料を提供します。弊社のCRISC問題集は精確に実際試験の範囲を絞ります。SPOTOのCRISC試験問題集を利用することで、さらに学習と練習が必要な分野を特定し、企業のビジネス回復力を強化し、ステークホルダーに価値を提供し、企業全体のリスク管理を最適化するために必要な知識とスキルを確実に身につけることができます。これらの試験リソースを活用し、模擬試験で練習することで、効果的に準備を行い、CRISC認定試験に合格する可能性を高めることができます。
他のオンライン試験を受ける
質問 #1
ある組織が、重要なシステムのユーザー管理統制のアウトソーシングを検討している。そのベンダー候補は、年1回の独立監査ではなく、四半期に1回の自己監査を実施すると申し出ている。リスクプラクティショナーが最も懸念すべきは次のうちどれですか?
A. ベンダーはベストプラクティスを達成できない
B. ベンダーは制御の失敗を保証しない。
C. コントロールが適切にテストされていない可能性がある
D. アクセス制御に対するリスクベースのアプローチの欠如
回答を見る
正解: B
質問 #2
あなたは企業のプロジェクトマネージャーです。あなたは、企業におけるリスク事象の発生を特定しています。あなたは事前にリスク対応を計画した。あなたは発生したリスクを監視しました。このモニタリングプロセスの後、リスク事象に対応するために直ちに実施しなければならないことは何ですか?
A. 時間とコストの見積もりが達成される確率
B. リスクの優先順位リスト
C. 優先度の低いリスクのウォッチリスト
D. カテゴリー別に分類されたリスク
回答を見る
正解: A
質問 #3
強固な内部統制環境の重要な構成要素はどれか。
A. RMIS
B. 職務の分離
C. マニュアル・コントロール
D. 自動化ツール
回答を見る
正解: B
質問 #4
次のうち、チェンジマネジメントに最も効果的な重要業績評価指標(KPI)はどれか?
A. 変更成功率
B. 実施された変更の数
C. フォールバックプランのある変更の割合
D. 変更の実施に要する平均時間
回答を見る
正解: A
質問 #5
主要リスク指標(KRI)の閾値の変更を促すものはどれか。
A. リスク選好度またはリスク許容度の変化
B. リスク・カテゴリーの変更
C. 新たな脅威に関する知識
D. リスク登録の変更
回答を見る
正解: A
質問 #6
リスク対応オプションを選択する主な目的は、以下のとおりである:
A. 残留リスクを最小限に抑える。
B. 危険因子を減らす。
C. リスクを許容レベルまで低減する。
D. 補償コントロールを特定する。
回答を見る
正解: C
質問 #7
ITリスクシナリオを策定する際には、以下のことが重要である:
A. プロセス・オーナー
B. ITマネージャー
C. 内部監査人
D. 上級管理職
回答を見る
正解: B
質問 #8
契約書においてソースコードのエスクローを要求する目的は、以下の通りである:
A. ベンダーが消滅してもソースコードが入手できるようにする。
B. バグが発生したときにソースコードが利用できるようにする。
C. 管理の適切性についてソースコードをレビューする。
D. ソースコードが有効で存在することを確認する。
回答を見る
正解: A
質問 #9
次のうち、適切な管理が行われていないことを表すものはどれか。
A. 脆弱性
B. 脅威
C. 資産
D. インパクト
回答を見る
正解: A
質問 #10
あなたはテックマート社のリスク担当者です。あなたはサーバを失った場合の影響についてリスク評価を行うよう求められています。この評価では、サーバの金銭的価値を計算する必要があります。あなたは次のうちどれに基づいて金銭的価値を計算しますか?
A. 交換に要する費用
B. 当初取得価額
C. 年間損失見込み
D. ソフトウェアの保管費用
回答を見る
正解: A
質問 #11
ITリスク登録の有効性を維持するために最も重要なものはどれか。
A. リスク対応計画の状況を登録簿に記録し、追跡する。
B. 主要な利害関係者へのレジスターの伝達
C. レジスターの定期的な見直しと更新を行う。
D. リスク処理後、登録から項目を削除する。
回答を見る
正解: C
質問 #12
次の統制のうち、非技術的統制の例はどれか。
A. アクセス・コントロール
B. 物理的セキュリティ
C. 侵入検知システム
D. 暗号化
回答を見る
正解: B
質問 #13
KRIの最も重要な活用法はどれか?
A. 発生したリスク事象を後ろ向きに捉える
B. 早期警戒信号の提供
C. 企業のリスク選好度とリスク許容度を示す。
D. トレンドの文書化と分析を可能にする
回答を見る
正解: B
質問 #14
リスクマネジメントの観点から、成熟度モデルを使用する主な目的は、以下を可能にすることである:
A. ソリューションの提供
B. 戦略的アライメント
C. リソース利用
D. パフォーマンス評価
回答を見る
正解: D
質問 #15
新しい技術システムが組織の現在のリスクプロファイルに与える影響を理解するために、次のうちどれが最も役立つだろうか?
A. ギャップ分析の実施
B. 既存のリスク軽減策を見直す
C. リスクアセスメントの実施
D. 新技術に特化したコンサルタントを雇う
回答を見る
正解: D
質問 #16
プロジェクトの重要成功要因の測定に使用されないものはどれか。
A. 生産性
B. 品質
C. 数量
D. カスタマーサービス
回答を見る
正解: C
質問 #17
リスク登録簿の主要な機能は、組織のリスク開発を支援する情報を提供することである:
A. 地図
B. プロセス
C. プロファイル
D. 戦略
回答を見る
正解: C
質問 #18
リスク対応が実施される可能性を高める最も効果的な方法は、以下のとおりである:
A. 進捗状況の報告
B. 行動計画を立てる
C. 定期的な監査の実施
D. 所有権の譲渡
回答を見る
正解: D
質問 #19
ある事業部門が、重要なプロジェクトの評価結果を記載したリスク登録簿を更新しています。次のうち、最も重要なものはどれですか?
A. 治療を必要とするリスクシナリオに対処するための行動計画
B. リスクアセスメントを実施したチーム
C. 監督を行うリスク・マネジャー
D. リスク評価の実施に使用した方法
回答を見る
正解: D
質問 #20
ITマネジメントは、プロジェクトの優先順位付けとリソース配分を可能にするために、組織のリスクプロファイルを統合的に把握することを求めています。次の資料のうち、どれが最も役に立ちますか?
A. 主要リスク指標一覧
B. 内部監査報告書
C. ITリスク登録
D. 承認されたプロジェクトのリスト
回答を見る
正解: C
質問 #21
リスクマネジメントプロセスを第三者にレビューしてもらう主な理由はどれか。
A. プロセスギャップとシステムエラーを客観的に把握する。
B. リスクプロファイルが定義され、伝達されていることを確認する。
C. 脅威管理プロセスを検証する。
D. 統制環境の客観的評価を得る。
回答を見る
正解: A
質問 #22
最近導入されたシステムにおいて、適切な自動制御が行われているかどうかを確認する方法として、最も適切なものはどれか。
A. ユーザー受け入れテストの実施
B. 実施後のレビューの実施
C. インタビュー・プロセス・オーナー
D. 主要業績評価指標(KPI)の見直し
回答を見る
正解: B
質問 #23
組織内でリスクを認識する文化を促進する第一の目的はどれか?
A. リスクベースの意思決定を可能にする
B. プロセス制御効率の向上
C. リスク選好度のより良い理解
D. 監査結果の改善
回答を見る
正解: A
質問 #24
アクセス制御の継続的な監視を実施する主な利点は、それを特定できることである。
A. データ開示につながるコンプライアンス違反の可能性
B. 主要リスク指標(KRI)の先行または遅行
C. セキュリティポリシーと手順の不一致
D. 既存のアクセス制御を弱体化させる未知の脅威
回答を見る
正解: B
質問 #25
重要な独占的ビジネス機能に関わる高確率のリスクシナリオが特定され、年間管理コストが年間予想損失額より高い。リスク対応として最も適切なものはどれか。
A. 避ける
B. 移籍
C. 受け入れる
D. 軽減する
回答を見る
正解: D
質問 #26
あなたは www.company.com Inc.のプロジェクトマネージャーとして働いている。あなたは、確率、影響、リスクエクスポージャーを測定しなければならない。次に、選択したリスク対応が、選択したリスク事象の確率と影響にどのように影響するかを測定しなければなりません。このタスクを達成するのに役立つツールは次のうちどれですか?
A. プロジェクト・ネットワーク図
B. デルファイ法
C. 決定木分析
D. 因果関係図
回答を見る
正解: C
質問 #27
組織のITリスク文化を確立するために、第一に責任を負うべきものは何か?
A. リスク管理
B. ITマネジメント
C. ビジネス・プロセス・オーナー
D. 経営幹部
回答を見る
正解: D
質問 #28
あなたはブルーウェル社のプロジェクトのプロジェクトマネージャーです。あなたとあなたのプロジェクトチームは、いくつかのプロジェクトリスクを特定し、リスク分析を完了し、最も適切なリスク対応を適用する計画を立てています。適切なリスク対応を選択するために、次のどのツールを使用しますか?
A. プロジェクト・ネットワーク図
B. 因果関係分析
C. 決定木分析
D. デルファイ法
回答を見る
正解: C
質問 #29
組織のリスク選好度を構成する要素はどれか。
A. 企業の損失吸収能力
B. 補償コントロールの有効性
C. 適切と考えられる固有のリスク量
D. 予防的管理によって影響を受ける残存リスク
回答を見る
正解: A
質問 #30
あなたはブルーウェル社のプロジェクトのプロジェクトマネージャーです。あなたとあなたのプロジェクトチームは、いくつかのプロジェクトリスクを特定し、リスク分析を完了し、最も適切なリスク対応を適用する計画を立てています。適切なリスク対応を選択するために、次のどのツールを使用しますか?
A. プロジェクト・ネットワーク図
B. 因果関係分析
C. 決定木分析
D. デルファイ法
回答を見る
正解: C
質問 #31
ITリスクシナリオを全社的なリスク登録簿に組み込むことを最も促進するリスクマネジメント手法はどれか。
A. 主要なITリスクシナリオについて、重要リスク指標(KRI)を策定する。
B. ITリスクシナリオは、組織の目的に照らして作成される。
C. ITリスクシナリオは、企業のリスク管理チームによって評価される。
D. ITリスクシナリオのリスクアペタイトは、主要なビジネス利害関係者によって承認される。
回答を見る
正解: B
質問 #32
リスクアセスメントを実施する理由として最も適切なものはどれか。
A. リスクの現状を把握する
B. ビジネスへの影響を分析する
C. 規制要件を満たすため
D. 様々なコントロールを適用するために適切な予算を組むこと
回答を見る
正解: A
質問 #33
あるクラウドサービスベンダーの契約書をレビューしていたところ、そのベンダーが機密データ漏洩の責任を負うことを拒否していることが判明しました。このようなデータ漏えいに関連するリスクを低減する管理策は、次のうちどれがベストでしょうか?
A. 運用管理の妥当性を検証するための第三者の関与
B. 競合他社と同じクラウドベンダーを使う
C. ベンダーが提供する鍵でフィールドレベルの暗号化を使用する。
D. ベンダーが暗号化キーを知らないようにする。
回答を見る
正解: A
質問 #34
あなたは GHT プロジェクトのプロジェクトマネージャーです。あなたは定性的リスク分析プロセスを実行する必要があります。このプロセスを完了すると、リスク登録の更新出力として、次のうち、どれを除いたすべてを作成することになりますか?
A. プロジェクト・リスク
B. ステータス・アップデート
C. リスク・アップデート
D. プロジェクトの問題
回答を見る
正解: A
質問 #35
クラウドサービスプロバイダーの効果的なセキュリティ管理を確保するために最も役立つのはどれか。
A. ベンダーからの内部監査報告書
B. Aコントロール自己評価
C. 第三者によるセキュリティ評価報告書
D. サービス・レベル・アグリーメントの監視
回答を見る
正解: C
質問 #36
次のうち、危険因子を明らかにするために予測的または診断的な分析ツールを使用する方法はどれか?
A. シナリオ分析
B. 感度分析
C. フォールトツリー解析
D. 原因と結果の分析
回答を見る
正解: D
質問 #37
ある組織で、許容範囲を超える長時間のネットワーク停止が数件発生した。この状況に対処するために、リスク実務者が最初に着手すべきことはどれか。
A. インシデントの根本原因分析を推奨する。
B. リスク許容度を許容しきい値に更新する
C. リスクに対処するための追加的な管理策を推奨する
D. リスク登録簿の事故関連リスクの傾向を更新する。
回答を見る
正解: C
質問 #38
ITリスク認識プログラムの主な焦点となるべきものはどれか。
A. 長期的な行動変容を培う
B. 規制遵守の実証
C. 組織の内部方針の遵守を確保する。
D. ITリスクポリシーを参加者に伝える
回答を見る
正解: A
質問 #39
あなたは、プロジェクトにおけるいくつかのリスクを特定した。あなたは、特定したリスクに対応するためにリスク軽減を選択しました。あなたが選択したリスク軽減方法が効果的であることを保証するのは、次のうちどれですか?
A. システムおよび通信保護制御
B. 監査と説明責任管理
C. アクセス・コントロール
D. 識別と認証コントロール
回答を見る
正解: B
質問 #40
あなたは GHT プロジェクトのプロジェクトマネージャーです。データ抽出の過程で、あなたは月平均に12を乗じて年間の総取引件数を評価した。この総取引件数を評価するプロセスは、?
A. 重複テスト
B. コントロール合計
C. 単純で効果的でない
D. 合理性テスト
回答を見る
正解: D
質問 #41
組織が特定の法的規制を遵守していないことを知ったとき、リスク実務者が次にとるべき行動はどれか。
A. 関連するリスクの可能性と大きさを評価する。
B. 緩和活動と代償措置を特定する。
C. 関連するリスクをコンプライアンス上級役員に通知する。
D. 遵守しなかった場合の罰則を決定する。
回答を見る
正解: A
質問 #42
あなたはブルーウェル社のプロジェクトマネージャーです。あなたは、プロジェクトのリスクレベルが企業のリスク許容度を超えて上昇していることに気づきました。あなたはいくつかのリスク対応を適用しました。今、あなたはリスク対応プロセスに従ってリスク登録簿を更新しなければなりません。次のうち、どの項目を除いて、すべてリスク登録簿に含まれていますか?
A. リスク・トリガー
B. 合意された対応戦略
C. クリティカルパス活動のネットワーク図分析
D. リスク所有者とその責任
回答を見る
正解: C
質問 #43
あなたは、ある HGT プロジェクトのプロジェクトマネージャーです。プロジェクトの顧客はプロジェクト完了のサインをしたので、あなたはいくつかの管理上の終結活動をしなければならない。このプロジェクトでは、プロジェクトを台無しにしかねない大きなリスクがいくつかありましたが、あなたとプロジェクトチームは、プロジェクトのコストやプロジェクトの完了日に影響を与えることなくリスクを解決する新しい方法をいくつか見つけました。あなたが発見したリスク対応策をどうしますか?
A. その回答をプロジェクト管理計画に含める。
B. リスク対応策をリスクマネジメント計画に盛り込む。
C. 組織の教訓データベースにリスク対応を含める。
D. 何もない。リスクへの対応は、すでにプロジェクトのリスク登録に含まれている。
回答を見る
正解: C
質問 #44
一連のリスクシナリオを定義した後、直ちに着手すべきことは何か?
A. リスクの軽減
B. リスク・モニタリング
C. リスク管理
D. リスク分析
回答を見る
正解: D
質問 #45
リスクマネジメント・プログラムを導入する最も大きな利点はどれか?
A. リスクを認識する文化の促進
B. セキュリティ・ガバナンスの改善
C. リスクを考慮した意思決定を可能にする
D. 残留リスクの低減
回答を見る
正解: A
質問 #46
コントロールを設計する際に最も重要なものはどれか?
A. プロセスオーナーの関与
B. 内部監査の関与
C. 主要リスク指標の特定
D. リスクの定量的影響
回答を見る
正解: D
質問 #47
ある組織が、データ処理を社内のITチームに委任し、アプリケーションを通じて情報を管理している。この状況における社内ITチームの役割はどれか。
A. データ所有者
B. データ管理者
C. データ管理者
D. データ処理業者
回答を見る
正解: B
質問 #48
システムアクセス管理プロセスの有効性を確認するためのマッピングテストとして、最も適切なものはどれか。
A. ユーザーアカウントから人事(HR)記録まで。
B. ユーザーアカウントによるアクセス要求
C. ベンダーデータベースをユーザーアカウントに変換する。
D. ユーザーアカウントへのアクセス要求
回答を見る
正解: B
質問 #49
外部セキュリティ監査により、管理上の不適合に関する複数の発見事項が報告された。リスクプラクティショナーが上級管理職に伝えるべき最も重要な事項は次のうちどれでしょう か?
A. 関連するリスクを軽減するための計画
B. リスク認識トレーニングを改善するための提案
C. 内部監査検証への提言
D. 組織のリスクプロファイルへの影響
回答を見る
正解: C
質問 #50
リスクをビジネス目標と整合させる上で、最も役立つのはどれか。
A.
A. ビジネスインパクト分析(ビアの実施
B. トップダウンのリスクシナリオ分析結果の統合
C. c
D. リスク分類システムの導入
回答を見る
正解: C
質問 #51
サイバー侵入を防ぐために、リスクプラクティショナーが推奨する最善の方法はどれか。
A. データ損失防止(DLP)ツールを導入する。
B. ネットワーク分離を実施する
C. サイバー対応計画を策定する。
D. 脆弱性是正の取り組みを強化する。
回答を見る
正解: A
質問 #52
リスク状況の変化を特定する最も良い方法はどれか?
A. アクセスレビュー
B. 根本原因分析
C. 内部監査報告書
D. 脅威モデリング
回答を見る
正解: D
質問 #53
法的、規制的、契約上の要件がビジネス目標に及ぼす潜在的な影響を評価する方法として、最も適切なものはどれか。
A. ビジネスプロセス関係者とのコミュニケーション
B. コンプライアンス重視のビジネスインパクト分析
C. コンプライアンス重視のギャップ分析
D. コンプライアンス要件と方針および手順のマッピング
回答を見る
正解: B
質問 #54
サーベンス・オクスリー法のどの条項で、「定期財務報告書はCEOとCFOの証明を受けなければならない」と規定されているか?
A. 第302条
B. 第404条
C. 第203条
D. 第409条
回答を見る
正解: A
質問 #55
サイバーリスクが確実に評価され、企業レベルのリスクプロファイルに反映されるようにするために、リスク実務家が推奨する最善の方法はどれか。
A. 上級管理職に特化したサイバーリスク意識向上トレーニングの実施
B. 業界のベストプラクティスに基づくサイバーリスクプログラムの実施
C. 組織のリスク管理フレームワークに従ってサイバーリスクを管理する。
D. 組織全体におけるサイバーの役割と責任を明確にする
回答を見る
正解: C
質問 #56
リスクシナリオをビジネスプロセス別に分類する主な理由は何か?
A. リスク所有者ごとのリスクレベルの集計を行う。
B. 過剰なコントロールをもたらす状況を特定する。
C. 経営陣が費用対効果の高いリスク軽減策を実施できるようにする。
D. 改善すべき事業活動の欠陥を示すこと
回答を見る
正解: C
質問 #57
統制自己評価(CSA)を実施する主な目的は、以下のとおりである:
A. 外部監査への依存度を下げる
B. 組織内のリスクについて理解を深める
C. 組織における統制の有効性について理解を深める。
D. 外部監査の前に管理体制を調整する。
回答を見る
正解: C
質問 #58
リスク管理が効果的であることを示す最良の指標は、リスクが軽減されたときである:
A. リスク選好
B. リスク容量
C. リスクレベル
D. リスク予算
回答を見る
正解: A
質問 #59
顧客データ損失に関するリスクのハイレベルな視点を提供する上で、次の役割のうち最も役立つのはどれでしょうか?
A. 顧客データベース管理者
B. 監査委員会
C. データ・プライバシー・オフィサー
D. 顧客データ管理者
回答を見る
正解: D
質問 #60
どの統制の不備が最も重要であるかを判断する場合、次のうちどれが最も有用な情報となるか。
A. 例外処理方針
B. ベンチマーク評価
C. 脆弱性評価結果
D. リスク分析結果
回答を見る
正解: D
質問 #61
アウトソーシングサービスプロバイダーが企業の情報セキュリティポリシーを遵守していることを確認する最も良い方法はどれか。
A. 侵入テスト
B. サービス・レベル・モニタリング
C. セキュリティ意識向上トレーニング
D. 定期監査
回答を見る
正解: D
質問 #62
次のプロセスのうち、リスクを優先順位に従って処理し、プロジェクト管理計画を必要に応じてスケジュールし、リソースとアクティビティを予算に挿入するものはどれか。
A. リスクの監視と管理
B. リスク対応を計画する
C. リスクの特定
D. 定性的リスク分析
回答を見る
正解: B
質問 #63
ある組織では、従業員が組織の電子メールを個人的に使用することを禁止するために、どのようなポリシーを使用するでしょうか?
A. ハラスメント防止方針
B. 利用規定
C. 知的財産ポリシー
D. プライバシーポリシー
回答を見る
正解: B
質問 #64
意思決定の推進をデータ分析に依存している組織において、不正確なデータに関連するリスクを最小限に抑えるのに役立つのは、次のうちどれでしょう?
A. 各データソースの脆弱性の評価
B. 知的財産契約の締結
C. 業界のベストプラクティスへのベンチマーキング
D. ビッグデータ戦略の定期的な見直し
回答を見る
正解: A
質問 #65
サミーは組織のプロジェクトマネージャーである。彼女は各リスクをその確率と時間、コスト、スコープへの影響に基づいて評価したいと考えている。プロジェクトチームのメンバーであるハリーは、このようなやり方をしたことがなく、サミーがこのアプローチを試みるのは間違っていると考えている。ハリーは、3つの別々のリスクスコアではなく、累積リスクスコアを作成すべきだと言います。このシナリオでは誰が正しいでしょうか?
A. サミーはプロジェクトマネージャーなので正しい。
B. サミーが正しい。なぜなら、組織はプロジェクトの目的ごとにリスクスコアを作成できるからである。
C. ハリーは正しい。リスク確率と影響度のマトリックスは、リスク評価の唯一のアプローチである。
D. ハリーは正しい。なぜなら、リスクの確率と影響はプロジェクトのすべての目的を考慮しているからである。
回答を見る
正解: B
質問 #66
侵入テストを実施するために第三者を利用する場合、運用への影響を最小限に抑えるために最も重要な管理はどれか。
A. 業者に賠償責任保険への加入を求める。
B. ベンダーの身元調査を行う。
C. ベンダーに秘密保持契約書への署名を求める。
D. プロジェクトの範囲を明確に定義する。
回答を見る
正解: D
質問 #67
リスクに影響を与える対策を選択し、実施するプロセスはどのようなものですか?
A. リスク処理
B. コントロール
C. リスクアセスメント
D. リスク管理
回答を見る
正解: A
質問 #68
あなたは GHT プロジェクトのプロジェクトマネージャーです。発注した機器の納品が間に合わないと、ハードウェアベンダーからボイスメールが入った。彼女はあなたに注意を促したかったので、折り返し電話をかけるよう頼んだ。次の記述のうち、正しいものはどれか。
A. これは残存リスクだ。
B. これはトリガーだ。
C. これはコンティンジェンシープランだ。
D. これは二次的なリスクだ。
回答を見る
正解: B
質問 #69
組織がITパフォーマンス要件を導入していることを示すものとして、最も適切なものはどれか。
A. ベンダー・レファレンス
B. アカウンタビリティ・マトリックス
C. ベンチマーク・データ
D. サービスレベル契約
回答を見る
正解: C
質問 #70
リスク実務者がリスク登録簿を更新する必要がある可能性が最も高いのはどれか。
A. セキュリティ・オペレーション・センターから報告されるアラート。
B. リスク対応を実施するためのプロジェクトスケジュールの策定または実施。
C. 脆弱性スキャンを実施する第三者の関与。
D. 新しいコントロールを導入するためのプロジェクトの完了。
回答を見る
正解: D
質問 #71
リスク実務者は、ログの収集と相関戦略の策定について経営陣に助言を求められている。この戦略を策定する際に、最も重要な考慮事項は次のうちどれでしょうか?
A. すべてのコンピューティングリソースをログソースとして確実に含めること
B. ログソースの時刻同期の確保
C. すべてのログソースへの読み書きアクセスを確保する
D. 外部の脅威情報ログソースを確実に含めること
回答を見る
正解: B
質問 #72
適切かつ効率的なコミュニケーションを阻害する最も効果的な要因はどれか?
A. ITに関連する実際のエクスポージャーの程度に関するトップの誤った自信と、トップダウンによるリスク管理の方向性がよく理解されていないこと。
B. 企業が利害関係者から既知のリスクを隠蔽しようとしているという認識
C. 非難文化の存在
D. 現実のリスク選好度と政策への反映の不一致
回答を見る
正解: C
質問 #73
ISのモニタリングとメンテナンス・プロセスの最初の段階とは?
A. 根本原因分析
B. インフルエンス・ダイアグラムのテクニック
C. SWOT分析
D. 前提条件分析
回答を見る
正解: B
質問 #74
事業継続計画(BCP)を策定する際、最も重要なことは以下の通りである:
A. マルチチャネル・コミュニケーション計画を策定する
B. 復旧すべき重要なサービスに優先順位をつける
C. 地理的に分散した災害復旧サイトを特定する
D. オペレーションを受け入れる代替地を特定する
回答を見る
正解: C
質問 #75
次のうち、重要リスク指標に当てはまらないものはどれか。
A. 企業の主要なモニタリング指標として選択される。
B. 過度に多くのリスク指標を管理・報告する必要を回避するのに役立つ。
C. KRIの完全なセットは、リスク、根本原因、ビジネスインパクトの指標もバランスさせるべきである。
D. 毎年モニターされる
回答を見る
正解: D
質問 #76
組織の在庫システムにおける冗長なデータに関連する最も大きな懸念は、次のうちどれですか?
A. データの不整合
B. 不必要なデータストレージの使用
C. アクセスコントロールの不備
D. プログラム変更に伴う不必要なコスト
回答を見る
正解: C
質問 #77
重要システムにセキュリティ対策を実施した後、残存リスクを受け入れるかどうかを判断する際に、最も重要な考慮事項はどれか。
A. 情報管理システムのコスト。
B. 追加的な緩和策の費用対効果
C. システムの年率損失予想(ALE)。
D. ビジネスインパクトの頻度
回答を見る
正解: C
質問 #78
あなたはSGTプロジェクトのプロジェクトマネージャーです。あなたは、プロジェクトの利害関係者と積極的にコミュニケーショ ンをとり、協力してきました。ステークホルダーの期待を管理する」プロセスのアウトプットの1つが、実際にプロジェクトに新たなリスクイベントを発生させる可能性があります。ステークホルダーの期待を管理する」プロセスのどのアウトプットがリスクを生み出す可能性がありますか?
A. 信頼できる情報源
B. 安全
C. 区別
D. 無所属
回答を見る
正解: C
質問 #79
最近のリスク登録の更新後、経営陣は残存リスクの全体的なレベルを下げるよう要求している。リスク実務者の行動として最も適切なものはどれか?
A. 改善計画に優先順位をつける。
B. 低レベルのリスクの受け入れを勧める。
C. リスクオーナーとともに新たなリスクアクションプランを策定する。
D. 追加の管理を実施する。
回答を見る
正解: D
質問 #80
あるプロジェクトで、ハードウェアを扱う部分がある。プロジェクトマネージャーであるあなたは、そのプロジェクトのすべてのハードウェア作業を請け負う会社を雇うことにしました。これはどのタイプのリスク対応でしょうか?
A. 転移
B. 緩和
C. 回避
D. エクスプロイト
回答を見る
正解: A
質問 #81
コントロールの設計と実施における改善は、ほとんどの場合、更新をもたらす:
A. リスク許容度
B. リスク選好度
C. 固有のリスク
D. 残存リスク
回答を見る
正解: D
質問 #82
脆弱性評価の結果を検証する最も良い方法はどれか。
A. 侵入テストの実施
B. 根本原因分析の実施
C. 脅威分析の実施
D. セキュリティログを確認する
回答を見る
正解: A
質問 #83
すべての既知の代替案が評価されたことを利害関係者に示すために、リスクアセスメント中に使用される技法はどれか。
A. 管理図
B. トレンド分析
C. 感度分析
D. 決定木
回答を見る
正解: A
質問 #84
次のプロセスのうち、確率と影響のマトリックスを作成するのはどれか。
A. 強化
B. エクスプロイト
C. 受け入れる
D. シェア
回答を見る
正解: D
質問 #85
あなたはHGTプロジェクトのプロジェクトマネージャーです。あなたはプロジェクトのリスクを特定し、その軽減のために適切な対応策を適用した。あなたは対応策を適用した結果、発生したリスクに気づきました。その結果発生したリスクとは何でしょうか?
A. 純粋なリスク
B. セカンダリー・リスク
C. 対応リスク
D. ハイリスク
回答を見る
正解: B
質問 #86
新興企業が災害復旧計画を策定する際の最初のステップは、災害復旧計画を特定することである:
A. 現在の脆弱性
B. 適切な代替地
C. 回復時間の目標
D. 重要なビジネスプロセス
回答を見る
正解: D
質問 #87
情報セキュリティ管理チームがエクスポージャを軽減するためにリソースを割 り当てるとき、最も役に立つのはどれか。
A. 内部監査結果
B. 関連するリスク事例
C. リスク評価結果
D. 侵入テストの結果
回答を見る
正解: C
質問 #88
本番環境に導入された変更に関連するリスクを監視するための最良の指標は、その割合である:
A. ユーザー受け入れテストを必要としない変更。
B. 事件の原因となる変化
C. 緊急事態による変更
D. プロダクションに変更を加える権限を持つ要員。
回答を見る
正解: B
質問 #89
複数のリスク実務者がリスクシナリオを1つのリスク登録簿に記載する場合、最も重要な考慮事項はどれか。
A. 一貫した方法でリスク評価を行う
B. リスクのエスカレーションと報告手順の開発
C. 最新のリスク治療計画の維持
D. リスク・オーナーシップとコントロール・オーナーシップの一致
回答を見る
正解: A
質問 #90
次のうち、倒産につながる可能性のあるリスクはどれか?
A. 限界
B. ごくわずか
C. クリティカル
D. 大惨事
回答を見る
正解: D
質問 #91
次のリスクのうち、重要なビジネスパートナーとの間で起こり、ある地域や業界内の大規模な企業グループに影響を及ぼすリスクはどれか。
A. 伝染リスク
B. リスク報告
C. オペレーショナル・リスク
D. システミック・リスク
回答を見る
正解: D
質問 #92
リスクマネジメントの最新情報を経営幹部と共有する際に、最も重要な考慮事項はどれですか?
A. 組織リスクを集約して見る
B. 主要リスク指標(KRI)データへの依存
C. 組織目標との関連性の確保
D. リスク指標の傾向分析を含む
回答を見る
正解: C
質問 #93
組織が成熟したリスクマネジメントプロセスに従っていることを示す最も適切な指標はどれか。
A. 経営幹部は定期的にリスク認識研修を受ける。
B. 各リスクシナリオの属性は、リスク登録簿に文書化されている。
C. リスク登録は意思決定に頻繁に活用される。
D. 上級管理職向けにダッシュボードを開発し、リアルタイムのリスク値を提供。
回答を見る
正解: D
質問 #94
ITリスクシナリオを特定する際に、最も重要なインプットを提供する役割はどれか。
A. オペレーショナル・リスク・マネジャー
B. 内部監査人
C. 情報セキュリティ管理者
D. ビジネス・プロセス・オーナー
回答を見る
正解: D
質問 #95
セキュリティ管理の実施と維持に責任を負うべき者は誰か?
A. データ管理者
B. 内部監査人
C. データ所有者
D. エンドユーザー
回答を見る
正解: A
質問 #96
脆弱性是正プログラムの効果を測定するための最良の主要業績評価指標(KPI)は、その件数である:
A. 新たな脆弱性が確認された。
B. 繰り返し発生する脆弱性。
C. 脆弱性の修正
D. 脆弱性スキャン
回答を見る
正解: B
質問 #97
適切なタイミングで適切な人に適切な情報が届かず、適切な行動がとれないことに関連するリスクはどれか。
A. リスク登録とリスク分析結果
B. リスク登録簿とリスク対応計画
C. リスク登録とリスク対応の権限
D. リスク登録簿とリスク管理計画
回答を見る
正解: A
質問 #98
あなたはRFTプロジェクトのプロジェクトマネージャーです。あなたは、企業のITシステムとアプリケーションの状況が非常に複雑であるため、数年以内に容量を拡張することが困難になり、ソフトウェアの保守に非常にコストがかかるというリスクを認識しています。このリスクを克服するために、採用された対応策は、既存システムの再構築と新しい統合システムの購入である。このケースは、次のリスクの優先順位付けのうちどれに分類されるでしょうか?
A. 延期
B. クイックウィン
C. ビジネスケースの作成
D. 伝染リスク
回答を見る
正解: C
質問 #99
ウェンディは、プロジェクト内で特定されたリスクについて定性的リスク分析を行おうとしています。次のうち、ウェンディがこのプロジェクトマネジメント活動を行うのに役立たないものはどれでしょうか?
A. リスク管理計画
B. プロジェクト・スコープ・ステートメント
C. リスク登録
D. ステークホルダー登録
回答を見る
正解: D
質問 #100
情報システム統制を設計する際に、第一に考慮すべきはどれか。
A. IT戦略計画
B. 既存のIT環境
C. 組織戦略計画
D. 現在のIT予算
回答を見る
正解: C
質問 #101
インシデント対応プロセスの効率を測るのに最も適しているのはどれか。
A. 対応に欠けるインシデントの数
B. 経営陣にエスカレーションされたインシデントの件数
C. 変更からエスカレーション・マトリックスの更新までの平均時間
D. 実際の応答時間と合意された応答時間の平均ギャップ
回答を見る
正解: D
質問 #102
IT関連事象がビジネス目標に与える影響をリスク実務者が理解する上で、最も適した役割はどれか。
A. プロセス・オーナー
B. ITマネジメント
C. 上級管理職
D. 内部監査
回答を見る
正解: A
質問 #103
ある組織が、顧客の行動を分析するために、ベンダーにデータへのアクセスを許可した。顧客情報漏えいのリスクを軽減するための最も効果的な管理策はどれか。
A. 「知る必要がある」ベースで顧客データへのアクセスを制限する。
B. 犯罪歴調査の実施
C. 顧客データフィールドのマスク
D. ベンダーに守秘義務契約の締結を求める
回答を見る
正解: A
質問 #104
あなたは企業のプロダクト・マネージャーである。あなたは、新しい技術、製品、サービスが随時企業内に導入されることを認識しています。このような変化による統制の効率性と有効性の低下を防ぐためには、何をすべきでしょうか?
A. リスクアセスメントや主要なリスク指標からタイムリーなフィードバックを受け、管理体制を更新する。
B. コントロールを増やす
C. ビジネスインパクト分析(BIA)の実施
D. これらの変更によって、統制の効率性、有効性に影響はない。
回答を見る
正解: A
質問 #105
組織のリスクマネジメント手法を確立する際に、最も考慮すべきことはどれか?
A. リスク許容度
B. ベンチマーク情報
C. リソース要件
D. ビジネス・コンテキスト
回答を見る
正解: D
質問 #106
ある組織が、SaaS(Software as a Service)プロバイダーにアプリケーションをアウトソーシングした。このサービスの利用に関連するリスクは、組織が所有する必要がある:
A. サービスプロバイダーのITマネージャー
B. サービスプロバイダーのリスクマネージャー
C. 組織のビジネスプロセスマネージャー
D. 組織のベンダー・マネージャー
回答を見る
正解: C
質問 #107
事業環境の変化による新たなリスク・エクスポージャーの特定に最も役立つのはどれか。
A. 業界ベンチマーク
B. 標準作業手順書
C. コントロール・ギャップ分析
D. SWOT分析
回答を見る
正解: D
質問 #108
あるリスク実務者が、現在開発中の製品の設計を詳述したいくつかの重要な文書がインターネット上に掲載されていることを発見しました。リスク実務者はまずどのような行動をとるべきか?
A. 根本原因分析を行う
B. 早急なリスク評価の実施
C. 確立されたインシデント対応計画を発動する
D. 内部監査への報告
回答を見る
正解: D
質問 #109
NIST SP 800-53は、コントロールを3つの主要なクラスに分類しています。それらは何か。
A. 技術、行政、環境
B. 予防、検出、および是正処置
C. 技術、運営、管理
D. 管理、技術、運営
回答を見る
正解: C
質問 #110
ジュディは、プロジェクトで高確率かつ高影響のリスク事象を特定した。プロジェクトの要件に基づき、ジュディはプロジェクトスコープを変更し、関連する要件と関連するリスクを取り除くよう要請しました。これはどのようなリスク対応でしょうか?
A. エクスプロイト
B. リスク対応ではなく変更要求
C. 回避
D. 転移
回答を見る
正解: C
質問 #111
監査により、複数の解雇された従業員アカウントがアクセスを維持していることが判明した。このリスクに対処するための最初のステップはどれですか。
A. リスクアセスメントの実施
B. ユーザーアクセスを無効にする
C. 根本原因分析の実施
D. アクセス制御ポリシーを策定する
回答を見る
正解: D
質問 #112
組織のリスク選好度が変化したときに更新することが最も重要なのはどれか?
A. 主要リスク指標(KRI)
B. リスク分類法
C. 主要業績評価指標(KPI)
D. リスク報告方法
回答を見る
正解: A
質問 #113
電子トランザクションの否認防止ポリシー要件への準拠を保証するのに役立つのはどれか。
A. デジタル署名
B. 電子証明書
C. ワンタイムパスワード
D. 暗号化されたパスワード
回答を見る
正解: A
質問 #114
適切かつ効率的なコミュニケーションを阻害する最も効果的な要因はどれか?
A. ITに関連する実際のエクスポージャーの程度に関するトップの誤った自信と、トップダウンによるリスク管理の方向性がよく理解されていないこと。
B. 企業が利害関係者から既知のリスクを隠蔽しようとしているという認識
C. 非難文化の存在
D. 現実のリスク選好度と政策への反映の不一致
回答を見る
正解: C
質問 #115
フィッシング攻撃に対する最も効果的な防御策はどれか。
A. 侵入検知システム
B. アプリケーションの硬化
C. エンドユーザーの意識
D. スパムフィルター
回答を見る
正解: C
質問 #116
リスクマネジメント・プログラムの第一の目標は以下の通りである:
A. リソースの利用を容易にする。
B. 企業資産を守る。
C. 目標の達成を確実にする。
D. オペレーション上の損失を防ぐ
回答を見る
正解: B
質問 #117
ヘンリーは自分の会社のQBGプロジェクトのプロジェクトマネージャーである。このプロジェクトの予算は4,576,900ドルで、完了まで18カ月を予定している。プロジェクトの利害関係者であるCIOは、プロジェクト作業の一環として、成果物の追加を求めるスコープ変更要求を導入した。変更管理システムのどのコンポーネントが、提案された変更がプロジェクト製品の機能や特徴に与える影響をレビューするでしょうか?
A. リスク分析は、すべての資産の保護の程度が等しいと仮定すべきである。
B. リスク分析は、損失の大きさよりも可能性を重視すべきである。
C. リスク分析は、類似企業のベンチマークに範囲を限定すべきである。
D. リスク分析は、潜在的な損失の大きさと可能性に取り組むべきである。
回答を見る
正解: B
質問 #118
変更管理システムにおいて、新たに提案されたすべての変更要求についてリスクが検査されるようにする構成要素はどれか。
A. コンフィギュレーション管理
B. スコープ変更管理
C. リスクのモニタリングと管理
D. 統合変更管理
回答を見る
正解: D
質問 #119
複数のソーシャル・エンジニアリング攻撃を受けている組織が、リスク認識プログラ ムを開発している。このプログラムの主な目標は次のとおりである:
A. 違反の結果を伝える
B. 業界のベストプラクティスを実施する
C. 組織のリスク選好度を下げる
D. リスクを許容レベルまで減らす
回答を見る
正解: D
質問 #120
あるリスク実務者が、顕在化しつつあるITリスクを軽減するためのアクションプランのステータスをレビューしているところ、リスクレベルが上昇していることに気づいた。最善の行動方針は次のとおりである:
A. 選択した統制が現在も適切かどうかを評価する。
B. 計画されたコントロールを実施し、残りのリスクを受け入れる。
C. リスクを再評価するため、現在のアクションプランを一時中断する。
D. 追加的な緩和策を含むように行動計画を修正する。
回答を見る
正解: A
質問 #121
慎重なビジネス慣行では、リスク選好度がそれを超えないことが求められる:
A. リスク容量。
B. 固有のリスク
C. リスク許容度
D. 残留リスク
回答を見る
正解: A
質問 #122
セキュリティ実装を成功させる可能性を最大化するために最も重要な要素はどれか。
A. 業界をリードするセキュリティ・ツール
B. 組織の文化
C. 実施しやすさ
D. 組織の知識
回答を見る
正解: B
質問 #123
ある投資の効率性を評価するため、あるいは複数の異なる投資の効率性を比較するために使用されるパフォーマンス指標は、次のうちどれか?
A. セキュリティ投資に対するリターン
B. 総所有コスト
C. 投資収益率
D. 安価なディスクの冗長アレイ
回答を見る
正解: C
質問 #124
リスクアセスメントにおいて既存の管理策を評価する際、最も懸念すべき問題はどれか。
A. 冗長な補償制御が行われている。
B. 資産所有者の代わりに、資産保管者が管理を定義する責任がある。
C. 多くの承認された例外が、代償となるコントロールとともに存在する。
D. 連続した評価では、同じ脆弱性が繰り返し発生する。
回答を見る
正解: D
質問 #125
管理レビューの際、管理オーナーは、既存の管理が経年劣化していると述べています。管理オーナーへの最善の勧告は何か?
A. 上級管理職に問題を報告する。
B. リスク軽減策についてリスクオーナーと話し合う
C. 懸念事項を文書化した後、コントロールを認証する。
D. 残存リスクを低減するための代償的コントロールを実施する。
回答を見る
正解: D
質問 #126
リスク対応アクションプランを承認する際に、経営陣が最も考慮すべきことはどれか?
A. 行動計画実施のための優先順位付け
B. 複数のリスクシナリオに対処する行動計画の能力
C. リスク処理ソリューションの実施しやすさ
D. 計画実施後の残存リスクの変化
回答を見る
正解: A
質問 #127
あるアプリケーションは、複数のビジネスシステムから財務データをコンパイルし、財務報告システムを更新するスケジュールジョブを実行します。このジョブの実行時間が長すぎると、財務報告が遅れる可能性があります。リスクプラクティショナーが推奨する最善の方法はどれですか?
A. データベースのアクティビティと容量の監視を実施する。
B. このジョブに追加のシステムリソースを提供することを検討する。
C. 企業がそのような状況を検出するプロセスを持っていることを確認する。
D. 事業者にリスクを認識させる。
回答を見る
正解: C
質問 #128
リスクの分析、リスクプロファイルの維持、リスクを考慮した意思決定について説明する役割の担い手は、次のうちどれか。
A. 確率
B. 脅威
C. 脆弱性
D. 影響
回答を見る
正解: D
質問 #129
次のプロセスのうち、リスクを優先順位に従って処理し、プロジェクト管理計画を必要に応じてスケジュールし、リソースとアクティビティを予算に挿入するものはどれか。
A. リスクの監視と管理
B. リスク対応を計画する
C. リスクの特定
D. 定性的リスク分析
回答を見る
正解: B
質問 #130
組織内でリスクについて議論するとき、最も重要なのはどれか?
A. 共通のリスク分類法を採用する。
B. リスクコミュニケーション方針の作成
C. 重要業績評価指標(KPI)を使用する。
D. 主要リスク指標(KRI)の使用。
回答を見る
正解: D
質問 #131
ITとビジネスの不整合に伴うリスクを軽減するのに最適なものはどれか。
A. ITアーキテクチャの確立されたフレームワークの導入
B. 重要業績評価指標(KPI)の設定
C. ビジネス・プロセス・オーナーのIT戦略への関与
D. 主要リスク指標(KRI)の設定
回答を見る
正解: A
質問 #132
主要リスク指標(KRI)の選定に利害関係者を関与させることの主な利点はどれか。
A. 既存の指標の活用
B. リスク治療決定の最適化
C. リスクオーナーからの賛同を得る
D. リスク意識の向上
回答を見る
正解: C
質問 #133
ITリスクマネジメントフレームワークを導入する主な利点は、以下のとおりである:
A. ビジネス目標とIT目標の整合性
B. 組織内統制の改善と損失の最小化
C. 関連する法規制要件の遵守
D. リスクを認識した意思決定のための信頼できる基盤の確立
回答を見る
正解: B
質問 #134
ヘンリーはJQプロジェクトのプロジェクト・スポンサーであり、ナンシーはプロジェクト・マネージャーである。ヘンリーはナンシーにプロジェクトのリスク洗い出しプロセスを開始するよう依頼したが、ナンシーはプロジェクトチームをプロセスに参加させるよう主張している。なぜプロジェクトチームがリスク洗い出しに参加する必要があるのでしょうか?
A. フレームワーク
B. 法的要件
C. スタンダード
D. プラクティス
回答を見る
正解: A
質問 #135
ある組織が、ユーザーが個人所有のデバイスから会社のデータにアクセスできるようにすることを検討しています。リスクを評価する際に最も重要な要素は次のうちどれですか?
A. データの分類
B. 装置のタイプ
C. リモート管理機能
D. データ量
回答を見る
正解: C
質問 #136
リスクの影響を軽減するための最善の対策はどれか。
A. ITセキュリティポリシーを作成する
B. 検知制御の実施
C. 是正措置の実施
D. 既存のテクノロジーを活用する
回答を見る
正解: C
質問 #137
あなたは大規模な建設プロジェクトのプロジェクトマネージャーである。このプロジェクトの期間は18ヶ月、完成までにかかる費用は75万ドルです。あなたは、プロジェクトチーム、専門家、利害関係者と協力して、プロジェクト作業開始前にプロジェクト内のリスクを特定しようとしています。経営陣は、なぜあなたがプロジェクト計画中だけでなく、プロジェクト全体を通してこれほど多くのリスク特定会議を予定しているのか知りたがっています。リスク識別会議を何度も開く理由は何でしょうか?
A. 反復会議により、すべての利害関係者がプロジェクトの全フェーズを通じてリスク識別プロセスに参加できる。
B. 反復ミーティングによって、プロジェクトマネージャーは、プロジェクトを通過したリスク事象と、起こらなかったリスク事象について議論することができる。
C. 反復ミーティングにより、プロジェクトマネジャーとリスク特定参加者は、プロジェクトを通じて新たに発見されたリスク事象を特定することができる。
D. 反復ミーティングによって、プロジェクトマネージャーはプロジェクト実行中に発生する懸案事項を伝えることができる。
回答を見る
正解: C
質問 #138
あなたはブルーウェル社のプロジェクトマネージャーとして働いています。プロジェクト作業に遅れが生じており、それがプロジェクトのスケジュールに悪影響を及ぼしています。あなたは、利害関係者の承認を得て、プロジェクトをより早く完了させるために、プロジェクト作業を急ピッチで進めることを決定しました。プロジェクトを急ピッチで進めると、何が増えそうですか?
A. 人材ニーズ
B. 品質管理への懸念
C. コスト
D. リスク
回答を見る
正解: D
質問 #139
中断のないITサービスを提供する能力を測定するための重要業績評価指標(KPI)として、最も適切なものはどれか。
A. 平均故障間隔
B. 計画外ダウンタイム
C. 平均回復時間
D. 計画的なダウンタイム
回答を見る
正解: A
質問 #140
リスクアクションプランの一環として実施された統制が有効でないことを最も強く示すものはどれか。
A. セキュリティ侵害が発生した。
B. 内部監査が定期的な例外を特定する。
C. 変更が管理者の承認なしに本番稼動される。
D. 行動計画を検証するためにサンプルを使用する。
回答を見る
正解: B
質問 #141
あなたはABSプロジェクトのプロジェクトマネージャーとして働いている。このプロジェクトは、学校の敷地内にコンピュータネットワークを構築するためのものです。プロジェクト実行中、学校の経営陣が校内をWi-Fi対応にするよう求めてきました。あなたは、これがプロジェクトに悪影響を及ぼす可能性があることを知っています。あなたは、この変更要求について他の利害関係者と話し合いました。次のステップは何でしょうか?
A. プロジェクト管理計画を更新する。
B. 変更要求を出す。
C. 影響を分析する。
D. リスク管理計画を更新する。
回答を見る
正解: C
質問 #142
あなたは会社のAFDプロジェクトのプロジェクトマネージャーです。あなたは、プロジェクトチームと協力して、既存のリスク事象を再評価し、発生していないリスク事象やプロジェクトとの関連性が過ぎたリスク事象を特定しています。このような未発生で、現在もプロジェクトで発生する可能性のないリスク事象をどのように扱うべきでしょうか?
A. リスクを課題ログに追加する
B. 時代遅れのリスクを閉鎖する
C. リスクをリスク登録簿に追加する
D. 優先度の低い監視リストにリスクを追加する
回答を見る
正解: B
質問 #143
あなたは企業のリスク担当者です。あなたの企業は、リスク信用情報を考慮することなく重要な意思決定を行っており、また、リスク管理および企業リスク管理との統合に関する外部要件を認識していません。あなたの企業のリスク管理能力の成熟度レベルは次のうちどれですか?
A. レベル1
B. レベル0
C. レベル5
D. レベル4
回答を見る
正解: B
質問 #144
あなたは企業のリスクのプロである。あるリスクが発生した場合の潜在的な収益損失を計算する必要があります。あなたの企業には、毎日100万米ドルの収益を生み出している電子(eコマース)ウェブサイトがあります。もし、半日続くサービス拒否(DoS)攻撃が発生したら、どれだけの損失が発生しますか?
A. データ分析
B. データ検証
C. データ収集
D. データ・アクセス
回答を見る
正解: B
質問 #145
プロジェクトの進行に伴うすべてのリスクとリスクへの対応はどこに文書化されているか?
A. リスク管理計画
B. プロジェクト管理計画
C. リスク対応計画
D. リスク登録
回答を見る
正解: D
質問 #146
ある経営チームは、新市場に参入するために新製品を発売するという積極的なミッションに取り組んでいるが、ITのリスク要因、脅威、脆弱性を見落としている。このシナリオBESTは、組織のリスクを示している:
A. 経営陣
B. 分析
C. カルチャー
D. トレランス
回答を見る
正解: C
質問 #147
ある組織が、新しい保険会社を探している間にサイバーリスク保険を失効させてしまった。リスク実務者は、経営陣にリスクが失効したことを報告しなければならない:
A. 合格
B. 軽減された
C. 移籍
D. 回避
回答を見る
正解: A
質問 #148
リスクマネジメントプログラムの初期導入時に、経営幹部に伝えるべき最も重要な事項はどれか。
A. リスク所有権
B. ベストプラクティス
C. 望ましいリスクレベル
D. 規制遵守
回答を見る
正解: A
質問 #149
あなたはある企業でプロジェクトに取り組んでいます。あなたのプロジェクトの一部は電子商取引を必要としますが、あなたの企業は電子商取引に関与しないことを選択しました。このシナリオは、次のどの形式を示していますか?
A. リスク回避
B. リスク治療
C. リスクの受容
D. リスク移転
回答を見る
正解: A
質問 #150
組織の目的がリスク事象の発生から保護されていることを経営陣に保証する行動は、次のうちどれか。
A. 内部統制
B. リスク管理
C. ヘッジ
D. リスク評価
回答を見る
正解: A
質問 #151
組織のITリスクマネジメントプロセスに独立したレビューを要求する主な目的は、以下のとおりである:
A. ITリスクマネジメントが潜在的リスクの軽減に焦点を当てていることを確認する。
B. ITリスクアセスメントの結果がビジネスインパクトとして表現されていることを確認する。
C. ITリスクマネジメントの運用と戦略的焦点のギャップを評価する。
D. 脅威が現実化する可能性を低減するために実施された管理策を検証する。
回答を見る
正解: C
質問 #152
ある組織が、不機嫌で解雇されたIT管理者が企業ネットワークに侵入しようとしたとの連絡を受けた。次の発見のうち、組織にとって最も懸念すべきものはどれですか?
A. ブルートフォース攻撃が検出された
B. 外部からの脆弱性スキャンが検出された
C. サポート要請の増加が見られる
D. 認証ログが無効になっている
回答を見る
正解: D
質問 #153
ハリーはHDWプロジェクトのプロジェクトマネージャーである。彼は、プロジェクトチームのメンバーが負傷する可能性のあるリスクを特定しました。彼は、このプロジェクトで誰かが怪我をするようなリスクを受け入れたくないので、プロジェクトのこの部分を完了させるために専門のベンダーを雇いました。ハリーはどのようなリスク対応を実施しますか?
A. 彼らは、リスク事象を引き起こし、それに対応する可能性が最も高い個人である。
B. 彼らは、プロジェクト内で特定されたリスク事象に対して、最善の対応ができる個人である。
C. 彼らはリスク事象の影響を最も受ける個人である。
D. 彼らは、リスク事象に対するオーナーシップと責任感を必要とする個人である。
回答を見る
正解: A
質問 #154
あなたは企業のリスクのプロである。あなたは、採用した管理策のコスト・ベネフィット分析を実施しました。コスト・ベネフィット分析を行うことのメリットは何ですか?各正解は完全な解答を表しています。3つ選んでください。
A. プロジェクトが完了し、システムが十分な期間稼働している。
B. プロジェクト期間中
C. プロジェクト終了直後
D. プロジェクト完了間近
回答を見る
正解: ACD
質問 #155
定性的リスクアセスメントでは、リスクレベルの評価に次のどの用語を使用しますか?つ選びなさい。
A. ヘッジ
B. 嫌悪
C. 食欲
D. 許容範囲
回答を見る
正解: AC
質問 #156
ITリスクを集約したビューを経営陣に提供する主な目的はどれか。
A. 一貫性のある明確な用語を提供すること
B. リスク許容度の適切な見直しを可能にするため
C. リスク報告における依存関係を特定する
D. リスクに関する一貫したデータを取得できるようにする。
回答を見る
正解: B
質問 #157
いくつかのリスク対応のうち、ネガティブなリスク事象に対して用いられるリスク対応はどれか。
A. シェア
B. 強化
C. エクスプロイト
D. 受け入れる
回答を見る
正解: D
質問 #158
あるグローバル企業が競合企業の買収を検討している。上級管理職は、対象となる組織の全体的なリスクプロファイルのレビューを要請した。このレビューで最も有用な情報はどれですか?
A. リスク選好声明
B. リスク管理方針
C. リスク登録
D. 企業リスク管理の枠組み
回答を見る
正解: D
質問 #159
いくつかのリスク対応のうち、ネガティブなリスク事象に対して用いられるリスク対応はどれか。
A. シェア
B. 強化
C. エクスプロイト
D. 受け入れる
回答を見る
正解: D
質問 #160
資産が完全に失われた場合のエクスポージャーの価値は?
A. 強化
B. ポジティブ
C. 機会主義的
D. 搾取
回答を見る
正解: A
質問 #161
エイドリアンは、最近リリースされたばかりの技術を使った新しいプロジェクトのプロジェクトマネージャーである。技術の初期テストでは、その使用は有望に見えるが、技術の寿命や信頼性についてはまだ不確かである。エイドリアンはこの技術をプロジェクトのリスク要因として考慮したいと考えています。この技術に関連するリスクをどこに文書化すれば、リスクの状況と対応を追跡できるでしょうか?
A. プロジェクト・スコープ・ステートメント
B. プロジェクト憲章
C. リスクの低い監視リスト
D. リスク登録
回答を見る
正解: D
質問 #162
IT統制状況報告の主な目的は以下の通りである:
A. 改善策の評価および開始において内部監査を支援する。
B. ITガバナンス戦略へのコンプライアンスを確保する。
C. 現在の状態と望ましい状態の比較を容易にする。
D. IT統制を業界標準にベンチマークする。
回答を見る
正解: C
質問 #163
リスクマネジメント計画に関する次の記述のうち、正しくないものはどれか。
A. リスクマネジメント計画は、計画リスクマネジメントプロセスのアウトプットである。
B. リスクマネジメント計画は、残りのすべてのリスク計画プロセスのインプットとなる。
C. リスクマネジメントプランには、リスクへの対応とトリガーの記述が含まれている。
D. リスク管理計画には、閾値、スコアリングと解釈方法、責任者、予算が含まれる。
回答を見る
正解: C
質問 #164
テスト目的でマスクされていないデータを使用することに関連するリスクで、最も大きいものはどれですか?
A. 守秘義務
B. 誠実さ
C. 可用性
D. 説明責任
回答を見る
正解: A
質問 #165
ITリスクシナリオの包括的なセットを作成する際に使用するアプローチとして、最も適切なものはどれか。
A. 経営幹部からシナリオを集める
B. ITリスクポリシーと標準からシナリオを導き出す
C. 同業他社に対するシナリオのベンチマーク
D. 認知されたリスク管理の枠組みにシナリオをマッピングする
回答を見る
正解: D
質問 #166
効果的なリスクマネジメント・プログラムの特徴として、最も重要なものはどれか。
A. リスク対応計画が文書化されている。
B. 主要なリスク指標を定める。
C. リスク所有権が割り当てられる。
D. コントロールを主要なリスクシナリオにマッピングする。
回答を見る
正解: D
質問 #167
ある組織が、あるリスクシナリオが定義されたリスク許容レベルを超えていると判断した。次にとるべき行動は何か?
A. 補償制御の開発
B. リスク対応の特定
C. 修復リソースの割り当て
D. 費用便益分析を行う
回答を見る
正解: A
質問 #168
リスク分析に一般的なITリスクシナリオを使用する場合、最も懸念されるのは次のうちどれですか?
A. 固有のリスクは考慮されないかもしれない
B. 実施コストが増加する可能性がある
C. リスク要因が組織に関連していない可能性がある
D. 定量的な分析は不可能かもしれない
回答を見る
正解: C
質問 #169
あなたは、既存の時間管理システムの新しいインタフェースを開発する新規プロジェクトのプロ ジェクトマネージャーに任命されました。あなたはステークホルダーやチームとともに、想定されるすべてのリスクの特定を完了し、これらのリスクの確率と影響を計算しました。リスクに優先順位をつけるために、次に必要なものはどれでしょうか?
A. 親和性ダイアグラム
B. リスク格付けルール
C. プロジェクト・ネットワーク図
D. リスクカテゴリー
回答を見る
正解: B
質問 #170
あなたはPFOプロジェクトのプロジェクトマネージャーです。あなたは、プロジェクトチームのメンバーおよび2人の専門家と協力して、プロジェクトで特定されたリスク事象を評価しています。プロジェクトのリスクイベントを評価するには、次のどのアプローチが最適ですか?
A. インタビューまたはミーティング
B. リスク事象の真のコストの決定
C. 確率と影響のマトリックス
D. 根本原因分析
回答を見る
正解: A
質問 #171
復旧時間目標(RTO)を決定する上で、最も重要な要素はどれか。
A. 緊急行動計画の対応時間
B. 災害によるダウンタイムのコスト
C. オフサイト・バックアップ構内のコスト
D. 事業継続計画のテスト費用
回答を見る
正解: B
質問 #172
シェリーは会社のBUFプロジェクトのプロジェクトマネージャーである。このプロジェクトにおいて、シェリーは定性的リスク分析プロセスにおけるリスクバイアスの影響を軽減するためのルールを確立する必要があります。リスクバイアスの影響を減らすために、シェリーはどのような方法を取るのがベストでしょうか?
A. リスクの境界を設定する
B. ステークホルダーをポジティブなステークホルダーとネガティブなステークホルダーに分類し、リスク分析を行う。
C. リスク事象を特定した人ではなく、リスクの根本原因を特定する
D. リスク事象の確率と影響のレベルの定義を確立する。
回答を見る
正解: D
質問 #173
リスクマネジャーが、ある技術に過大なリスクがあると判断した。その技術の未然リスクを所有する最適な人物は誰か?
A. ビジネス・プロセス・オーナー
B. 最高財務責任者
C. チーフ・リスク・オフィサー
D. ITシステム・オーナー
回答を見る
正解: D
質問 #174
あなたはブルーウェル社のプロジェクトマネージャーとして働いています。あなたのプロジェクトには、複数の利害関係者の要件に影響するいくつかのリスクがあります。プロジェクトリスクに関する情報を共有するために誰が利用できるかを定義するプロジェクトマネジメントプランはどれですか?
A. 資源管理計画
B. リスク管理計画
C. ステークホルダー・マネジメント戦略
D. コミュニケーション・マネジメント・プラン
回答を見る
正解: D
質問 #175
デッドマン・ドアのない制限区域へのピギーバックに関連するリスクに最も効果的に対処する補償制御は、次のとおりである:
A. 二要素認証を使用する
B. 生体認証ドアロックの使用
C. 従業員にIDバッジの着用を義務付ける
D. セキュリティ意識向上トレーニング
回答を見る
正解: D
質問 #176
ある重要リスク指標(KRI)が閾値を超えたことが定期的に上級管理職に報告されているが、上級管理職はその都度、リスクを低減するための行動を取らないことを決定している。上級管理職の対応で最も可能性の高い理由はどれか。
A. KRIの基礎となるデータソースが不正確なデータを使用しているため、修正する必要がある。
B. KRIの基準値を、組織のリスク選好度とより整合させるために改訂する必要がある。
C. 上級管理職がKRIを理解していないので、リスク研修を受けるべきである。
D. KRIは有用な情報を提供していないので、KRIインベントリーから削除すべきである。
回答を見る
正解: B
質問 #177
マリーは、プロジェクトにおいて緩和対応が必要なリスク事象を特定した。彼女の対応により、実際に新たなリスク事象が発生し、それを分析し、計画しなければならなくなった。この新たに発生したリスク事象を何と呼ぶか?
A. 残留リスク
B. セカンダリー・リスク
C. 不定詞リスク
D. 人口リスク
回答を見る
正解: B
質問 #178
ある組織がITセキュリティ業務を第三者にアウトソーシングした。アウトソーシングした業務に関連するリスクについて、誰が最大限の責任を負うのか。
A. 組織のベンダー・マネジメント・オフィス
B. 組織のマネジメント
C. サードパーティーのコントロールオペレーター
D. 第三者の経営陣
回答を見る
正解: B
質問 #179
ビジネスの意思決定を効果的にサポートするために、ITリスク登録は必須である:
A. リスクアセスメントの結果を反映する。
B. ビジネス成熟度モデルを効果的にサポートする。
C. 作戦グループが利用できる。
D. IT運営委員会のレビューを受ける。
回答を見る
正解: B
質問 #180
クレジットカード情報の紛失を防止するために導入されたデータ紛失防止(DLP)コントロールの有効性を確保するための最も効果的な方法は、次のうちどれでしょうか。
A. 不正なデータ転送のログを確認する
B. クレジットカード番号をブロックするDLPコントロールの設定
C. クレジットカード番号の送信テスト
D. DLPルール変更管理プロセスのテスト
回答を見る
正解: A
質問 #181
あるリスク実務者が最近、本番環境の機密データが非本番環境のテスト目的に必要であることを発見した。この状況に対処するための推奨事項として、最も適切なものはどれか。
A. テスト環境に転送する前にデータをマスクする。
B. テスト環境に同等のセキュリティを導入する。
C. テスト環境でデータの暗号化を有効にする。
D. 本番データをテスト目的で使用しないようにする。
回答を見る
正解: B
質問 #182
統制の実施状況を文書化する主な理由はどれか。
A. 投資収益率の正当化
B. 効果的なリスク軽減の実証
C. 正確なリスク報告の提供
D. 経営陣のサインオフを得る
回答を見る
正解: B
質問 #183
経営陣がリスク対応に優先順位をつける上で、リスク実務担当者にとって最も適切な方法はどれか。
A. 事業目的に照らしてリスクを評価する。
B. 組織固有のリスク分類法を導入する。
C. 事業目標をリスクプロファイルに整合させる。
D. リスクの詳細を経営陣に説明する
回答を見る
正解: C
質問 #184
あなたは企業のプロジェクトマネージャーである。あなたは新たな脅威を特定し、新たな脅威に関連するリスクを軽減するための既存の管理策の能力を評価しました。あなたは、既存の管理策ではこれらの新たなリスクを軽減する効率が低いことに気づきました。この場合、どのような手順が考えられますか?正解はそれぞれ完全な解決策を表しています。(3つ選びなさい)
A. 関連性リスク
B. 完全性リスク
C. 可用性リスク
D. アクセス・リスク
回答を見る
正解: ABC
質問 #185
リスクが許容されるリスクアペタイトを上回っていることが判明した場合の行動として、最も適切なものはどれか。
A. リスク対応計画を実行する。
B. 管理の有効性を分析する。
C. 現在のコントロールを維持する。
D. リスク許容度の見直し
回答を見る
正解: B
質問 #186
機密データの漏洩に伴うリスクを管理するための最初のステップはどれか。
A. データ所有者と利用者に対する意識向上プログラムの実施
B. 機密データ目録の維持と見直し
C. データの暗号化を義務付ける
D. データ分類ポリシーを定義し、実施する
回答を見る
正解: A
質問 #187
デラはテック・パーフェクト社でプロジェクト・マネージャーとして働いている。彼女はあるプロジェクトの計画文書について研究している。その文書によると、プロジェクトの利害関係者は28人である。このプロジェクトのコミュニケーション・チャンネルはいくつになるでしょうか?
A. 250
B. 28
C. 378
D. 300
回答を見る
正解: C
質問 #188
あなたはGHTプロジェクトのプロジェクトマネージャーに選ばれた。あなたはプロジェクトを開始しなければなりません。プロジェクト要求書が承認され、あなたはプロジェクトを開始しなければなりません。プロジェクトを開始するために、あなたが取るべき最初のステップは何ですか?
A. フィージビリティ・スタディの実施
B. ソフトウェアの取得
C. プロジェクトの要件を定義する
D. プロジェクト管理の計画
回答を見る
正解: A
質問 #189
あなたはあるクライアントのプロジェクトのプロジェクトマネージャーです。クライアントは、プロジェクトが早期に完了すればボーナスを支払うと約束している。プロジェクトの作業内容を検討した結果、あなたは早期終了を実現するためにプロジェクトをクラッシュさせることを選択しました。これはどのようなリスク対応の例ですか?
A. 否定的なリスク反応、クラッシュすることでリスクが増えるから。
B. クラッシュは強化の一例であるため、積極的なリスク対応。
C. クラッシュは悪用の一例であるため、積極的なリスク対応。
D. 否定的なリスク反応、クラッシュすればコストが増えるから。
回答を見る
正解: B
質問 #190
あなたは企業のリスクプロフェッショナルである。あなたの企業は多くの部門で新しいシステムを導入しました。新システムが対応するはずだったビジネス要件はまだ満たされておらず、そのプロセスはリソースの無駄遣いとなっている。仮にシステムを導入したとしても、ほとんどの場合、十分に活用されず、メンテナンスもされないため、短期間で陳腐化してしまうでしょう。それはどのようなリスクなのか?
A. 固有のリスク
B. 事業リスク
C. プロジェクト・リスク
D. 残存リスク
回答を見る
正解: B
質問 #191
あなたはKJHプロジェクトのプロジェクトマネージャーであり、プロジェクトチームと協力してリスク対応を計画しています。プロジェクトの予算は 50 万ドル、期間は 6 カ月とします。KJHプロジェクトの中で、あなたは確率が0.70で、コストに35万ドルの影響を与えるリスク事象を特定しました。この事象に対するリスク対応を作成する場合、リスク対応のコストに考慮しなければならない事象のリスクエクスポージャーは何ドルでしょうか?
A. イベントのリスクエクスポージャーは350,000ドルです。
B. イベントのリスクエクスポージャーは50万ドル。
C. イベントのリスクエクスポージャーは85万ドル。
D. イベントのリスクエクスポージャーは245,000ドル。
回答を見る
正解: D
質問 #192
影響度の高いリスクタイプを発見する方法として、最も優れているものはどれか。
A. 定性的リスク分析
B. デルファイ法
C. 故障モードと影響解析
D. 定量的リスク分析
回答を見る
正解: C
質問 #193
ある組織が、新たに導入した人事システムの技術的な管理体制の脆弱性によるリスクエクスポー ジャーを特定した。リスク実務者は、そのリスクをリスク登録簿に文書化している。このリスクは、以下の者が所有すべきである:
A. ビジネス・プロセス・オーナー
B. 最高情報責任者
C. プロジェクトマネージャー
D. チーフ・リスク・オフィサー
回答を見る
正解: A
質問 #194
生産システムのリスクアセスメントを実施した後、最も適切な処置は、リスクマネジャーが次のことを行うことである:
A. ITマネージャーに懸念事項を伝え、それを軽減するための対策を提案する。
B. プロセスオーナーに懸念事項を通知し、懸念事項を軽減するための対策を提案する。
C. 開発チームに懸念を伝え、リスク軽減策を共に策定する。
D. その生産システムの懸念を最小限に抑えるプログラムを推奨する。
回答を見る
正解: A
質問 #195
効果的な情報セキュリティインシデント管理を示すものとして、最も適切なものはどれか。
A. 情報セキュリティインシデント対応計画テストの頻度
B. 高リスク・セキュリティ・インシデントの割合
C. 情報セキュリティ関連インシデントの月次推移
D. 重要な情報セキュリティインシデントを特定するまでの平均時間
回答を見る
正解: D
質問 #196
情報システム管理で最も重要な目的はどれか。
A. 事業目標が達成され、望ましくないリスク事象が検出され、修正される。
B. 効果的かつ効率的な業務の確保
C. 事業継続計画と災害復旧計画の策定
D. 資産の保護
回答を見る
正解: A
質問 #197
あるリスク実務家が、上級管理職主催の注目度の高いリスク評価の結果をまとめている。上級管理職によるリスクベースの意思決定を支援する最善の方法は、次のとおりである:
A. 主要リスク指標(KRI)の定量化
B. リスク許容度のしきい値を推奨する
C. 定量化された詳細な分析を提供する
D. 調査結果を目標にマッピングする
回答を見る
正解: D
質問 #198
以下のリスクのうち、実際の投資収益が投資家の期待を下回る確率を指すものはどれか?
A. 完全性リスク
B. プロジェクト所有リスク
C. 関連性リスク
D. 経費リスク
回答を見る
正解: D
質問 #199
経営陣のリスク選好度が変化した結果、リスク登録の次の要素のうち、最も変化する可能性が高いものはどれか?
A. リスクの可能性と影響
B. リスク速度
C. 固有のリスク
D. 主要リスク指標(KRI)の基準値
回答を見る
正解: D
質問 #200
ある組織の管理体制を検証した結果、データ損失防止(DLP)システムが、クレジットカード情報を含む送信メールの検出に失敗していることが判明した。
A. リスク選好
B. 残留リスク
C. 主要リスク指標(KRI)
D. 固有のリスク
回答を見る
正解: B
質問 #201
一般的なリスクシナリオを組織のセキュリティポリシーに当てはめた後、次の行動をとる:
A. 分析のためにリスクシナリオをリスク登録簿に記録する。
B. ビジネスへの適用可能性についてリスクシナリオを検証する。
C. リスクシナリオの数を管理可能な数に減らす。
D. リスクシナリオについてリスク分析を行う。
回答を見る
正解: B
質問 #202
ある組織では、新しいソフトウェア製品の市場投入までの時間を短縮することが、ビジネス上の最優先事項となっています。リスク実務者が最も懸念すべきことはどれか?
A. 電子メールインフラに適切なロールバックプランがない
B. IT開発プロジェクトに十分なリソースが割り当てられていない
C. 企業の電子メールシステムは、フィッシングメールを識別して保存しない。
D. カスタマーサポートのヘルプデスクのスタッフが十分なトレーニングを受けていない
回答を見る
正解: B
質問 #203
主要リスク指標(KRI)のモニタリングに関して、リスク実務家が最も懸念するのは次のうちどれでしょうか?
A. データ保持ポリシーが要求する以上の期間、ログが保持される。
B. システムから分析ツールへの送信時にログが暗号化される。
C. 分析を行う前にログを修正する。
D. ログは少数のシステムから収集される。
回答を見る
正解: D
質問 #204
クライアント向けアプリケーションのパフォーマンスを継続的に監視する際に、最も重要なことはどれですか?
A. ログのパフォーマンス情報は暗号化されています。
B. コントロールオーナーがコントロールの変更を承認する。
C. 事業主と目標を確認する。
D. エンドユーザーの受け入れテストが実施された。
回答を見る
正解: D
質問 #205
次のうち、リスクに関連する業務準備に関して、組織に最も多くの洞察を提供するものはどれか。
A. 能力成熟度評価結果
B. 企業リスク委員会の議事録
C. 業界標準とのベンチマーク
D. 能力の自己評価
回答を見る
正解: D
質問 #206
経営陣は、クレデンシャルの漏洩に関連するリスクを低減するために、情報セキュリ ティ意識向上トレーニングを要求した。研修の効果を評価する最善の方法は何ですか?
A. ソーシャルエンジニアリングテストを実施する。
B. 脆弱性評価を実施する。
C. セキュリティ意識向上トレーニング教材を監査する
D. トレーニングの最後に小テストを実施する。
回答を見る
正解: A
質問 #207
不審なネットワーク活動を確実に特定するために最も役立つのはどれか。
A. サーバーログの分析
B. 適切な機関とイベントを調整する
C. 侵入検知システム(IDS)のログ分析
D. 第三者監視プロバイダーの利用
回答を見る
正解: C
質問 #208
あなたはNHHプロジェクトのプロジェクトマネージャーです。あなたはプロジェクトチームと協力して、プロジェクト全体のリスク管理手順を文書化する計画を作成しています。この文書では、リスクをどのように特定し、定量化するかを定義します。また、プロジェクトチームによるコンティンジェンシープランの実施方法も定義します。このシナリオで、あなたとあなたのチームはどのような文書を作成しますか?
A. プロジェクト計画
B. 資源管理計画
C. プロジェクト管理計画
D. リスク管理計画
回答を見る
正解: D
質問 #209
新たに導入した統制の運用上の有効性を評価する上で、最も重要なものはどれか。
A. 継続的な監査技法は、継続的な統制監視を確実にするために使用される。
B. 管理責任者が適時にモニタリングと管理結果の報告を行っている。
C. コントロールパフォーマンスに使用されるソースデータは正確かつ完全である。
D. 自己評価テストの結果は、独立した管理テストによって定期的に検証される。
回答を見る
正解: A
質問 #210
あなたは企業で働いている。あなたの企業は一定のリスクを受け入れることを望んでいる。このリスクを何と呼ぶか?
A. コンフィギュレーション管理
B. コミュニケーション・マネジメント
C. 統合変更管理プロセスの実行
D. プロジェクト変更管理プロセス
回答を見る
正解: C
質問 #211
次の主要リスク指標(KRI)のうち、BYOD(Bring Your Own Device)プログラムに関連するリスクを監視するのに最も効果的なものはどれですか?
A. BYODデバイスに起因するインシデント数
B. BYODプログラムのセキュリティ管理に割り当てられた予算
C. BYODプログラムに登録されているデバイス数
D. BYOD許容使用ポリシーに署名したユーザー数
回答を見る
正解: A
質問 #212
リスクワークショップの参加者は、最も適切な対応策を選択するよりも、リスクを軽減するための金銭的コストに集中してしまっている。このような問題に長期的に対処する最も良い方法はどれか?
A. リスク登録とリスクシナリオの見直し
B. リスク・シナリオの年率換算損失期待値の算出
C. 組織のリスク管理の成熟度を高める
D. 投資収益率分析の実施
回答を見る
正解: B
質問 #213
リスクガバナンスに当てはまらないものはどれか。
A. リスク・ガバナンスは、協力、参加、緩和、持続可能性の原則に基づき、より効果的なリスク管理を実現するために採用される。
B. リスクガバナンスは年1回の報告を義務付けている。
C. リスク・ガバナンスは、リスク・ポリシーのギャップを埋めることによって、リスク・エクスポージャーと脆弱性を軽減しようとするものである。
D. リスク・ガバナンスとは、自然リスクや技術リスクに関連する意思決定プロセスに対する体系的なアプローチである。
回答を見る
正解: B
質問 #214
リスクマネジメントの目的を達成するためには、リスクをどのレベルまで低減させるべきか?
A. ALEがSLEより低くなるレベルまで
B. AROがSLEと同等になるレベルまで
C. 組織が受け入れられるレベルまで
D. 組織が軽減できるレベルまで
回答を見る
正解: C
質問 #215
プロジェクトの納期が守られないとき、ビジネス部門がIT部門を非難しがちなのは次のうちどれでしょう?
A. プロジェクトにおける脅威の特定
B. システム障害
C. 現実のリスク選好度と政策への反映の不一致
D. 非難文化の存在
回答を見る
正解: D
質問 #216
採用するリスク対応が費用対効果に優れ、事業目的に沿ったものであることを保証するために考慮すべきことは、次のうちどれでしょうか。3つ選びなさい。
A. プロジェクト管理計画
B. プロジェクト・コミュニケーション計画
C. ベンダーとのプロジェクト契約関係
D. プロジェクト・スコープ・ステートメント
回答を見る
正解: ABD
質問 #217
プロセス要件を特定し、プロセス設計を承認し、プロセスのパフォーマンスを管理する責任を負うのは、次のうち誰ですか?
A. ビジネス・プロセス・オーナー
B. リスク・オーナー
C. 最高財務責任者
D. 最高情報責任者
回答を見る
正解: A
質問 #218
最近、いくつかのネットワークユーザーアカウントが、必要な管理者の承認なしに作成されました。この状況に対処するために、リスクプラクティショナーが推奨する最善の方法はどれか。
A. コンプライアンス違反の根本原因を調査する。
B. セキュリティ侵害を宣言し、経営陣に報告する。
C. コンプライアンス違反に対する事故対応手順を策定する。
D. 包括的なコンプライアンスレビューの実施
回答を見る
正解: A
質問 #219
あなたは、ある HGT プロジェクトのプロジェクトマネージャーです。プロジェクトの顧客はプロジェクト完了のサインをしたので、あなたはいくつかの管理上の終結活動をしなければならない。このプロジェクトでは、プロジェクトを台無しにしかねない大きなリスクがいくつかありましたが、あなたとプロジェクトチームは、プロジェクトのコストやプロジェクトの完了日に影響を与えることなくリスクを解決する新しい方法をいくつか見つけました。あなたが発見したリスク対応策をどうしますか?
A. その回答をプロジェクト管理計画に含める。
B. リスク対応策をリスクマネジメント計画に盛り込む。
C. 組織の教訓データベースにリスク対応を含める。
D. 何もない。リスクへの対応は、すでにプロジェクトのリスク登録に含まれている。
回答を見る
正解: C
質問 #220
組織が複数の第三者ベンダーの統制環境を評価する上で、最も役立つのはどれか。
A. プロセスの品質と納期に関するベンダーのパフォーマンス指標をレビューする。
B. 主要なリスクと統制を網羅したベンダーの内部リスク評価をレビューする。
C. リスクの高いベンダーから独立した管理報告書を入手する。
D. 第三者からベンダーの推薦を得る。
回答を見る
正解: A
質問 #221
ITリスクアセスメントは、経営陣が利用することができる:
A. 組織の成功を測る。
B. 意思決定のインプットとして
C. 費用便益分析の基礎として。
D. 法令遵守のため
回答を見る
正解: B
質問 #222
リスクプラクティショナーにとって、組織のプロセスを認識することが最も重要である:
A. ビジネスインパクト分析を行う
B. リスクガイドラインの策定
C. 制御設計を理解する
D. 潜在的なリスク源を特定する
回答を見る
正解: D
質問 #223
あなたはHWDプロジェクトのプロジェクトマネージャーです。このプロジェクトでは、いくつかの電気機械を設置する必要がある。あなたとプロジェクトチームは、電気工事を行うのは危険なので、電気技師を雇うことにしました。あなたはどのようなリスク対応に従いますか?
A. 回避
B. 転移
C. 緩和
D. 受け入れ
回答を見る
正解: B
質問 #224
あなたは大規模なネットワークプロジェクトのプロジェクトマネージャーである。実行段階で、顧客から既存のプロジェクト計画の変更を要求されました。あなたは直ちにどのような行動をとりますか?
A. リスク登録簿を更新する。
B. 正式な変更依頼をする。
C. プロジェクトは実行段階にあるため、要求を無視する。
D. 変更要求を拒否する。
回答を見る
正解: B
質問 #225
組織のポリシーに違反して、従業員がうっかりファイルを社外に持ち出したため、機密データが失われました。次の管理策のうち、最も失敗しそうなものはどれですか?
A. 身元調査
B. 意識向上トレーニング
C. ユーザーアクセス
D. ポリシー管理
回答を見る
正解: B
質問 #226
ランサムウェアの脅威に対応して、ある組織はサイバーセキュリティ啓発活動を実施した。ランサムウェア攻撃の影響をさらに軽減するために、リスクプラクティショナーが推奨するBESTの対策は、次のとおりである:
A. 静止データの暗号化
B. 移動中のデータの暗号化
C. 二要素認証
D. 継続的なデータバックアップ管理
回答を見る
正解: D
質問 #227
ITリスクシナリオのレビューセッションにおいて、ビジネスエグゼクティブは、なぜ自分たちがIT関連のリスクシナリオのオーナーシップを割り当てられたのか疑問に思う。彼らは、ITリスクは本質的に技術的なものであるため、IT部門が所有すべきであると感じている。リスク実務者がこのような懸念に対処する最も良い方法はどれか。
A. ITリスクを監督するエグゼクティブ・リスク協議会の設立を推奨する。
B. ITリスクが顕在化した場合のITシステムのダウンタイムの見積もりを提供すること
C. ビジネスリスクの観点からITリスクシナリオを記述する
D. ITリスクの概念について経営幹部を教育する
回答を見る
正解: C
質問 #228
リスク・エクスポージャーを軽減するための管理策を決定する際、最も重要な要素はどれか。
A. ベストプラクティスとの比較
B. ビジネスプロセスとの関連性
C. 規制遵守要件
D. 費用便益分析
回答を見る
正解: B
質問 #229
ほとんどのユーザーが電子メールを削除しないため、ストレージコストが過去10年間で急激に増加していることに経営陣は気づいています。次のうち、セキュリティを犠牲にすることなく、この問題を軽減できるBESTはどれでしょうか?
A. eディスカバリーとデータ損失防止(DLP)の確立
B. ストレージクォータに近づいたら通知を送信する
C. 記録保持のツールとテクニックの導入
D. BYOD(Bring Your Own Device)ポリシーの導入
回答を見る
正解: B
質問 #230
あなたは会社のNGQQプロジェクトのプロジェクトマネージャーです。プロジェクトの状況を利害関係者に伝えるために、あなたは利害関係者登録簿を作成しようとしています。ステークホルダー登録簿には、次のうちどれを除いたすべての情報を含める必要がありますか?
A. ステークホルダー・マネジメント戦略
B. 利害関係者の主な要求、期待、潜在的影響力の評価情報
C. 各ステークホルダーの識別情報
D. プロジェクトにおけるステークホルダーの役割分類
回答を見る
正解: A
質問 #231
あなたは、プロジェクトチームと複数の専門家と共に定量的リスク分析プロセスを完了する準備をしています。あなたは、プロジェクトのコスト管理計画を含む必要なインプットを収集します。定量的リスク分析プロセスの準備にプロジェクトのコスト管理計画を含める必要があるのはなぜですか?
A. プロジェクトのコスト管理計画は、予算の定量的分析の構造を決定するのに役立つ統制を提供する。
B. プロジェクトのコスト管理計画は、プロジェクトの総コストをいくらまで許容するかを決めるのに役立ちます。
C. プロジェクトのコスト管理計画は、特定されたリスクによってコストがどのように変更される可能性があるかについての方向性を示している。
D. プロジェクトのコスト管理計画は、定量的リスク分析プロセスのインプットではない。
回答を見る
正解: A
質問 #232
あなたはTechSoft社でプロジェクトマネージャーとして働いています。あなたは、プロジェクトの利害関係者とともに、プロジェクトの定性的リスク分析プロセスに取り組んでいます。あなたは、プロジェクトの質的リスク分析プロセスにすべてのツールを使用しました。次のうち、定性的リスク分析プロセスのツールとして使用されていない技法はどれですか?
A. リスクの緊急性評価
B. リスクの再評価
C. リスクデータの品質評価
D. リスクの分類
回答を見る
正解: B
質問 #233
あるリスク実務者は、機密情報を暗号化せずに電子メールで送信するユーザーが増加傾向にあることを確認している。データ損失に関連するリスクを軽減するための最も効果的なアプローチはどれか。
A. 違反報告書の作成・配布ツールの導入
B. 機密データを含む暗号化されていない送信メールをブロックする
C. 電子メール違反に対する段階的な懲戒プロセスの実施
D. 機密データの暗号化要件に対する認識を高める
回答を見る
正解: B
質問 #234
リスクを軽減する決定がなされた後、リスク所有者が最も重視すべきはどれか。
A. 統制の有効性を監視するプロセスの決定
B. コントロールがリスクの可能性を低減していることを経営陣に確認する。
C. リスク軽減計画を含むリスク登録簿の更新
D. 管理設計がリスクを許容可能なレベルまで低減することを確実にすること
回答を見る
正解: D
質問 #235
次のIT重要リスク指標(KRI)のうち、経営陣にIT能力に関する最も適切なフィードバックはどれか。
A. ITリソースの利用動向。
B. 資源の利用可能性の増加。
C. ITメンテナンスコストの動向。
D. 事件の増加。
回答を見る
正解: D
質問 #236
あなたはブルーウェル社でプロジェクトマネージャーとして働いています。あなたはプロジェクト遂行の最終段階に近づいており、最終的なリスクモニタリングとコントロールの活動に向かっています。あなたのプロジェクトアーカイブにおいて、リスクモニタリングとコントロールのアウトプットは次のうちどれですか?
A. 定性的リスク分析
B. リスク監査
C. 定量的リスク分析
D. 変更要求
回答を見る
正解: D
質問 #237
効果的なリスクマネジメントのために従うべきガイドラインはどれか。それぞれの正解は完全な解答を表しています。3つ選びなさい。
A. 構成管理システム
B. 統合変更管理
C. 変更履歴
D. スコープ変更管理システム
回答を見る
正解: BCD
質問 #238
監査とアカウンタビリティ・コントロールの機能とは何ですか。(3つ選べ)
A. リスク水準がリスク選好度を上回る
B. リスク許容度を上回るリスクレベルの上昇
C. リスクレベルはリスク選好度に等しい
D. リスクレベルはリスク許容度に等しい
回答を見る
正解: ACD
質問 #239
リスクを決定する際、誰のリスク許容度が最も重要か?
A. 侵害の影響を受ける顧客
B. 情報セキュリティ管理者
C. 暴露された資産のビジネスプロセス所有者
D. 監査人、規制当局、標準化団体
回答を見る
正解: D
質問 #240
デシジョンツリー分析の次のノードのうち、デシジョンツリーの開始点を表すものはどれか?
A. 決定ノード
B. エンドノード
C. イベントノード
D. ルートノード
回答を見る
正解: D
質問 #241
リスクの有用性を最もよく表しているのはどれか?
A. リスクの背後にあるファイナンスのインセンティブ
B. リスクの潜在的機会
C. リスクの仕組み
D. 個人またはグループにとってのリスクの有用性
回答を見る
正解: D
質問 #242
システム開発ライフサイクルのプロジェクト開始フェーズでは、次のどの役割のキャリアによって開始されたプロジェクトに関する情報がありますか?
A. CRO
B. スポンサー
C. 経営管理
D. CIO(最高情報責任者
回答を見る
正解: B
質問 #243
リスク・オーナーシップの重要な成果はどれか?
A. リスク関連情報の伝達
B. リスク責任に対処する
C. リスク志向のタスクが定義されている
D. ビジネスプロセスのリスクを分析する
回答を見る
正解: B
質問 #244
特定されたリスクシナリオに確実に対処するために、最も効果的なのはどれか。
A. 脅威をリアルタイムで監視する
B. 主要な事業部門に個別のリスク登録簿を作成する
C. 定期的なリスク管理の自己評価の実施
D. リスク対応の実施状況のレビュー
回答を見る
正解: D
質問 #245
COSO ERMフレームワークのリスク構成要素はどれか。各正解は完全な解答を表しています。3つ選びなさい。
A. リスク対応のリスト
B. リスク・ランキング・マトリックス
C. 優先リスクのリストアップ
D. 定性的分析の結果
回答を見る
正解: ABD
質問 #246
リスクアセスメントのピアレビューで、関連する脅威コミュニティが含まれていないことが判明した。リスクを軽減するには、ソフトウェアアプリケーションを大幅に変更する必要があります。次のうち、最良の対応策はどれか。
A. 問題を改善するための予算要求を事業者に求める。
B. 脅威が提示しうる攻撃のタイプを調査する。
C. 消えた脅威の影響を判断する。
D. この問題を解決するためのビジネスケースを作成する。
回答を見る
正解: C
質問 #247
BYOD(Bring You Own Device)サービス提供のアプローチとして、データ損失からの保護が最も優れているのはどれか。
A. 侵入テストとセッションタイムアウト
B. 遠隔監視の実施
C. 強力なパスワードとデータの暗号化を強制する
D. データ消去機能を有効にする
回答を見る
正解: B
質問 #248
企業のリスク管理能力の成熟度レベル3に関する次の記述のうち、正しいものはどれか。
A. 確率
B. 脅威
C. 脆弱性
D. 影響
回答を見る
正解: ABD
質問 #249
次のオペレーショナルリスクのうち、高品質な製品の提供がその製品の製造コストに覆い隠されないようにするものはどれか?
A. 情報セキュリティ・リスク
B. 契約および製造物責任リスク
C. プロジェクト活動のリスク
D. 収益性オペレーショナル・リスク
回答を見る
正解: D
質問 #250
スティーブンはGBBプロジェクトのプロジェクトマネージャーである。彼は、2人の専門家とプロジェクトチームと協力して、リスクアセスメントの手法を完成させた。確率が低く、プロジェクトへの影響も低いリスクが47個ほどあります。これらのリスクに対してスティーブンが何をすべきか、最も適切な答えはどれですか?
A. 確率も影響も低いのだから、スティーブンはリスクを受け入れるべきだ。
B. 確率が低く、影響度の低いリスクは、将来のモニタリングのためにウォッチリストに追加すべきである。
C. 確率が低く、影響も小さいので、リスクは排除できる。
D. 低確率・低影響のリスクは、リスク登録簿に追加すべきである。
回答を見る
正解: B
質問 #251
主要リスク指標(KRI)の最も重要な利点はどれか。
A. リスク・ガバナンスの継続的な最適化を支援する。
B. プロアクティブな行動を取るための早期警告を提供する
C. トレンドの文書化と分析を可能にする
D. 規制要件へのコンプライアンスの確保
回答を見る
正解: A
質問 #252
組織のセキュリティインシデント対応プロセスの成熟度を測定するための重要業績評価指標(KPI)として、最も適切なものはどれか。
A. 解決したセキュリティインシデントの件数
B. 上級管理職にエスカレーションされたセキュリ ティインシデントの件数
C. 新たに確認されたセキュリティインシデントの件数
D. 再発したセキュリティインシデントの件数
回答を見る
正解: D
質問 #253
プロジェクトの重要成功要因の測定に使用されないものはどれか。
A. 生産性
B. 品質
C. 数量
D. カスタマーサービス
回答を見る
正解: C
質問 #254
新たに特定されたITリスクの最も適切な所有者は誰か?
A. リスク軽減の取り組みをサポートするITオペレーションの責任者
B. ITリスクに関する専門知識を最も有する者
C. リスクを軽減するために組織のリソースを投入する権限を持つ個人
D. リスク改善の優先順位付けができるプロジェクトマネージャー
回答を見る
正解: B
質問 #255
あなたは経験豊富なプロジェクトマネージャーで、自動車部品を生産する機械の開発プロジェクトを任されている。あなたはプロジェクトのリスクを特定するために、プロジェクトチームと主要な利害関係者とのミーティングを予定しています。このプロセスの主なアウトプットは次のうちどれですか?
A. リスク登録
B. リスク管理計画
C. リスク・ブレークダウン構造
D. リスクカテゴリー
回答を見る
正解: A
質問 #256
ある企業が、プロジェクトにおけるリスク事象を特定した。これらの特定されたリスク事象に対応する一方で、ITリスクに対するリスク対応オプションを検討する上で、以下の利害関係者のうちどれが最も重要であるか。
A. 情報セキュリティ管理者
B. 内部監査人
C. インシデント対応チームのメンバー
D. ビジネス・マネージャー
回答を見る
正解: D
質問 #257
軽減されたリスクが許容範囲内にあることを確認する際、リスク実務者にとって最も役に立つのはどれか。
A. 管理の有効性を継続的に監視するプロセスを導入する。
B. リスク所有者が特定されたリスクを定期的に見直すプロセスを設計する。
C. リスク所有者が定期的な統制テストプロセスに参加することを保証する。
D. リスク登録簿を更新した後、組織のリスクプロファイルを構築する。
回答を見る
正解: A
質問 #258
リスクシナリオの可能性と影響に大きな影響を与えるものであり、すべてのリスク分析において、可能性と影響を評価する際に考慮すべきである。
A. 不明瞭なリスク
B. 危険因子
C. リスク分析
D. リスクイベント
回答を見る
正解: B
質問 #259
次のうち、管理クラスに属するものはどれですか?それぞれの正解は完全な解答を表しています。(2つ選びなさい)
A. 受諾
B. 回避
C. エクスプロイト
D. 強化
回答を見る
正解: AC
質問 #260
リスクアセスメントの完了後、速やかにリスク登録の更新を行った場合、組織にとって最も大きなメリットはどれか?
A. 経営幹部とのコミュニケーションの改善
B. リスク管理に対する意識の向上
C. 最適化されたリスク治療の決定
D. リスク専門家間の連携強化
回答を見る
正解: B
質問 #261
ある組織では、ログイン試行が3回失敗するとユーザーアカウントをロックする予防的 コントロールを導入している。このプラクティスは非生産的であることが証明され、コントロールのしきい値の変更が推奨されています。誰がこの閾値の変更を承認すべきでしょうか?
A. コントロール・オーナー
B. ITセキュリティ・マネージャー
C. リスクオーナー
D. ITシステム・オーナー
回答を見る
正解: A
質問 #262
組織の強みが、弱点を克服するための脅威や機会を相殺する度合いを検討する手法は、次のうちどれか。
A. SWOT分析
B. デルファイ
C. ブレインストーミング
D. 専門家の判断
回答を見る
正解: A
質問 #263
次のISプロセスのうち、間接的な情報を提供するものはどれか?それぞれの正解は完全な解答を表しています。3つ選びなさい。
A. US$250,000の損失
B. 50万ドルの損失
C. 100万ドルの損失
D. 10万ドルの損失
回答を見る
正解: ABC
質問 #264
プロジェクトのスコープクリープに関連するリスクを軽減する最善のコントロールは、以下の通りである:
A. 経営幹部と定期的に協議する。
B. 変更管理手順を適用する
C. ユーザーの広範な参加を確保する
D. ソフトウェア開発におけるCASEツールの導入
回答を見る
正解: A
質問 #265
ソーシャル・エンジニアリングの脅威に関連するリスクを最小化するのに一番役立つのはどれか?
A. 組織のリスク選好度の見直し
B. 従業員制裁の実施
C. 職務分掌の徹底
D. フィッシング演習の実施
回答を見る
正解: D
質問 #266
信頼できる第三者サービスプロバイダーは、顧客のシステムがハッキングされるリスクは低いと判断した。クライアントが取るべき最善の行動はどれか。
A. 第三者に対する独立監査を実施する。
B. 第三者のリスク評価に基づいてリスクを受け入れる。
C. 自らリスクアセスメントを行う。
D. リスクに対処するための追加的な管理策を実施する。
回答を見る
正解: A
質問 #267
あるグローバル企業が、ソーシャルメディア広告を通じて顧客の行動データを収集しようと計画している。考慮すべきビジネスリスクのうち、最も重要なものはどれか。
A. 規制要件は各国で異なる場合があります。
B. ビジネス広告は国別に調整する必要がある。
C. データ分析が目的達成に有効でない可能性がある。
D. データサンプリングは、業界の様々な制約によって影響を受ける可能性がある。
回答を見る
正解: A
質問 #268
次のリスクマネジメント能力の成熟度レベルのうち、リスク選好度と許容度が適用されるのは、エピソード的なリスク評価時のみであるのはどれか。
A. レベル3
B. レベル2
C. レベル4
D. レベル1
回答を見る
正解: D
質問 #269
採用前に新入社員候補者の身元調査を行うことは、どのような種類の管理の例か?
A. 補償
B. 予防的
C. 探偵
D. 是正措置
回答を見る
正解: B
質問 #270
統制が有効であることを確認するために、誰が統制環境を監視する責任を負うべきか。
A. リスクオーナー
B. セキュリティ監視業務
C. 影響を受けるデータ所有者
D. システムオーナー
回答を見る
正解: B
質問 #271
コスト・パフォーマンス・インデックス(CPI)について正しいのはどれか。
A. CPIが1以上であれば、プロジェクトのパフォーマンスが期待以上であることを示す。
B. CPI=アーンド・バリュー(EV)*アクチュアル・コスト(AC)
C. スケジュールのパフォーマンスを測定するために使用される。
D. CPI=1の場合、プロジェクトのパフォーマンスが低いことを示す。
回答を見る
正解: A
質問 #272
ID およびアクセス管理プロセスの効率を測定するために最も有用な指標はどれか。
A. ユーザーアカウントのプロビジョニングにかかる平均時間
B. 月間パスワードリセット量
C. 新規口座のプロビジョニングのためのテロップ数
D. 平均アカウントロックアウト時間
回答を見る
正解: A
質問 #273
次のうち、管理上のコントロールはどれですか?
A. 水検知
B. 妥当性チェック
C. データ損失防止プログラム
D. セッションタイムアウト
回答を見る
正解: C
質問 #274
あるリスク実務者は、本番データがテスト環境で使用されていることに気づきました。実務者が最も懸念すべきことはどれですか?
A. テスト環境のセキュリティ
B. テストデータの可読性。
C. データの感度。
D. 権限のあるスタッフへのデータの提供。
回答を見る
正解: C
質問 #275
不正確なデータに関連するリスクを軽減する上で、最も有用なIT統制はどれか。
A. 更新と削除の監査証跡
B. データの暗号化保存
C. ソース・データへのリンク
D. データレコードとデータフィールドの合計をチェックする
回答を見る
正解: A
質問 #276
ある重要なプロセスにおいて、IT統制のギャップが特定されました。このギャップに関連するリスクの最も適切なオーナーは誰でしょうか?
A. ビジネス・プロセス・オーナー
B. 最高情報セキュリティ責任者
C. オペレーショナル・リスク・マネジャー
D. キー・コントロール・オーナー
回答を見る
正解: A
質問 #277
正確なリスク登録簿を維持するために最も重要な点はどれか。
A. ワークフロー機能を備えたナレッジマネジメントプラットフォームにリスク登録簿を公開し、定期的にリスク評価者に連絡し、内容の正確性を確認する。
B. 監査担当者による定期的な監査を実施し、リスク登録簿を管理する。
C. リスク登録簿をビジネスプロセスのオーナーに提出し、レビューと更新を求める。
D. 主要リスク指標を監視し、その結果をリスク登録簿に記録する。
回答を見る
正解: A
質問 #278
ある組織が、クラウドサービスにアップロードされた機密データを保護するインターネットゲートウェイ暗号化サービスを提供するために、サードパーティと契約した。これはリスクの一例である:
A. 移籍
B. 受け入れ
C. 緩和
D. 回避
回答を見る
正解: A
質問 #279
KRIの最も重要な活用法はどれか?
A. 発生したリスク事象を後ろ向きに捉える
B. 早期警戒信号の提供
C. 企業のリスク選好度とリスク許容度を示す。
D. トレンドの文書化と分析を可能にする
回答を見る
正解: B
質問 #280
適切なリスクアセスメントのアプローチを決定する際に、最も理解すべきことはどれか?
A. 脅威と脆弱性
B. 情報資産の価値
C. ITインフラの複雑さ
D. 経営文化
回答を見る
正解: B
質問 #281
リスクに金銭的価値をつけるには、次のうちどれを使えばよいか?
A. 年間損失見込み(ALE)
B. ビジネスインパクト分析
C. 費用便益分析
D. 固有の脆弱性
回答を見る
正解: A
質問 #282
あなたはGHTプロジェクトのプロジェクトマネージャーです。あなたのプロジェクトチームは、現在進行中のプロジェクトのリスクを特定している最中です。チームには、以下のツールやテクニックをすべて使用して、潜在的なリスクのいくつかを図示するオプションがあります。
A. プロセス・フローチャート
B. 石川ダイアグラム
C. インフルエンス・ダイアグラム
D. 決定木図
回答を見る
正解: D
質問 #283
アウトソーシングサービスプロバイダーが企業の情報セキュリティポリシーを遵守していることを確認する最も良い方法はどれか。
A. 侵入テスト
B. サービス・レベル・モニタリング
C. セキュリティ意識向上トレーニング
D. 定期監査
回答を見る
正解: D
質問 #284
あなたは GHT プロジェクトのプロジェクトマネージャーです。あなたは、アクセス制御ログを重大度に基づいて分析し、レポートする自動化ツールを導入しました。このツールは、過度に大量の結果を生成します。あなたはリスクアセスメントを実施し、アラートが「クリティカル」とマークされた場合にのみレポートするように監視ツールを設定することにしました。そのためには何をすべきでしょうか?
A. リスク対応を適用する
B. 主要リスク指標の最適化
C. リスク登録の更新
D. 定量的リスク分析の実施
回答を見る
正解: B
質問 #285
組織のチェンジマネジメントプロセスの有効性を示す指標として、最も適切なものはどれか。
A. 変更完了までの平均時間
B. 緊急変更の増加
C. 不正変更の割合
D. 変更頻度の増加
回答を見る
正解: A
質問 #286
次のリスクシナリオの構成要素のうち、企業に内部または外部の脅威を発生させる可能性があるものはどれか。
A. タイミング寸法
B. イベント
C. 資産
D. 俳優
回答を見る
正解: D
質問 #287
企業が損失の確率と報酬の確率を考慮して主要なビジネス上の意思決定を行うリスクマネジメント能力の成熟度は、次のうちどれですか?各正解は完全な解答を表しています。2つ選びなさい。
A. プロジェクトチームが、リスクと関連するリスク責任に対する当事者意識を持てるようにする。
B. プロジェクトマネジャーが、プロジェクト内のリスクオーナーと必要なリスク対応を特定できるようにする。
C. プロジェクトマネジャーだけが、プロジェクト内のリスク事象を特定するのではありません。
D. プロジェクトチームとプロジェクトマネジャーが協力して、リスクの所有権を割り当てられるようにする。
回答を見る
正解: CD
質問 #288
次のうち、組織の効果的な3つの防衛ラインモデルの最も重要な基本要素はどれか?
A. 確立されたリスク管理委員会
B. 堅牢なリスク集計ツールセット
C. 文書化され、周知されたエスカレーション手順
D. 明確に定義された役割と責任
回答を見る
正解: D
質問 #289
デビッドはHRCプロジェクトのプロジェクトマネージャーである。彼は、プロジェクトの遅延を引き起こす可能性のあるリスクを特定した。デービッドは、このリスク事象が発生することを避けたいので、リスク事象が発生しないようにするためのいくつかの措置を講じた。しかし、これらの余分な措置はプロジェクトに10,000ドルの追加コストをかけることになった。デービッドはどのようなリスク対応をとりましたか?
A. 回避
B. 緩和
C. アクセプタンス
D. 移籍
回答を見る
正解: B
質問 #290
次のうち、リスク対応プロセスのトリガーとなるものはどれか。
A. 1
B. インフィニティ
C. 10
D. 0
回答を見る
正解: B
質問 #291
リスクを特定するプロセスは、プロジェクトではいつ行われるのか?
A. プランニングの段階で。
B. 実行の段階で
C. イニシエーションの段階で
D. プロジェクトのライフサイクルを通じて。
回答を見る
正解: D
質問 #292
あなたは、プロジェクトチームと定性的リスク分析プロセスを完了し、予算、リスク管理スケジュール、リスクカテゴリーを決定するために、リスク管理計画を頼りにしています。あなたは、リスク区分が作成されていないことに気づきました。リスク区分はいつ作成されるべきでしたか?
A. スコーププロセスの定義
B. リスク識別プロセス
C. リスク管理プロセスの計画
D. ワーク・ブレークダウン・ストラクチャーの作成
回答を見る
正解: C
質問 #293
ジェニーはNBTプロジェクトのプロジェクト・マネージャーである。彼女はプロジェクトチームや複数の専門家と協力して、定量的リスク分析プロセスを実施している。このプロセスの中で、彼女とプロジェクトチームは、以前には特定されていなかったいくつかのリスク事象を発見しました。ジェニーはこれらのリスク事象に対して何をすべきでしょうか?
A. 事象は定性的リスク分析に入力されるべきである。
B. イベントを受け入れる必要があるか、対応する必要があるかを判断する必要がある。
C. その出来事はリスク登録簿に記入されるべきである。
D. 定量的なリスク分析を続けるべきである。
回答を見る
正解: C
質問 #294
コントロールが適用される前の資産に関連するリスクは、次のように表すことができる:
A. ある脅威の可能性。
B. 衝撃の大きさ。
C. 可能性と影響の関数。
D. コントロールのコストと有効性の関数。
回答を見る
正解: C
質問 #295
あなたはGHTプロジェクトのプロジェクト・マネージャーです。このプロジェクトの期間は18ヶ月で、プロジェクト予算は567,000ドルです。あなたの利害関係者の一人であるロバートは、プロジェクトのコストとスケジュールに影響を与えそうなスコープ変更要求を出してきました。ロバートは、リスク事象に関連する余分な時間とコストを支払うと確約しています。あなたは、その変更要求が、時間やコストだけでなく、プロジェクトの他の領域にも影響する可能性があることを確認しました。どのようなプロジェクトマネジメント要素が必要ですか?
A. コンフィギュレーション管理
B. 統合変更管理
C. リスク分析
D. プロジェクト変更管理システム
回答を見る
正解: B
質問 #296
ある業務部門の責任者が、ITリスク登録簿全体を見直すよう要請してきた。登録簿を共有する前に、この要求に対するリスクマネジャーの最善のアプローチはどれか。
A. 依頼の目的を決める。
B. 秘密保持契約を義務付ける。
C. レジの一部を消毒する。
D. 上級管理職にエスカレーションする。
回答を見る
正解: A
質問 #297
新たなリスクシナリオが特定された場合、最初に行うべきことはどれか。
A. リスク認識プログラムの評価
B. リスクトレーニングプログラムの評価
C. リスク所有者の特定
D. 残存リスクの見積もり
回答を見る
正解: A
質問 #298
あなたはブルーウェル社のリスクプロフェッショナルです。あるリスクが特定され、企業は会社の方針から逸脱した技術的解決策を適用することで、コントロールを迅速に実施したいと考えています。あなたは何をすべきでしょうか?
A. 会社のポリシーに反するので、実施しないよう勧める。
B. 現行ポリシーの改定を推奨する
C. 残留リスクが許容される場合にのみ、リスクアセスメントとその後の実施を推奨する。
D. リスクアセスメントを実施し、その結果に基づいて許可または不許可を決定する。
回答を見る
正解: C
質問 #299
最近、変更管理プロセスが更新され、新しいテスト手順が追加された。次のアクションは
A. テストする人、変更を推進する人に伝える
B. 変更管理プロセスの成熟度を評価する
C. 管理コストを正当化するための費用便益分析を実施する。
D. プロセスを監視し、最新のアップデートが守られていることを確認する
回答を見る
正解: A
質問 #300
リスク軽減アクションプランに従ってコントロールが実施されたかどうかを検証する方法として、最も適切なものはどれか。
A. 主要リスク指標(KRI)の実施
B. コントロール設計のテスト
C. コントロール環境のテスト
D. 主要業績評価指標(KPI)の導入
回答を見る
正解: A
質問 #301
ITリスクマネジメントプロセスを確立する際、最初に行うべき活動はどれか。
A. 事業の性質に基づき、高レベルのリスクアセスメントを実施する。
B. 過去の事故や教訓のデータを収集する。
C. 組織のリスク選好度を特定する。
D. 組織の目標と文化を評価する。
回答を見る
正解: D
質問 #302
あなたはブルーウェル社のプロジェクトマネージャーです。あなたの現在のプロジェクトは、組織内で優先度が高く、注目度の高いプロジェクトです。あなたは、プロジェクトに対する利害関係者のうち、最も大きな力を持つステークホルダーを特定したいと考えています。これは、プロジェクトのリスク、ステークホルダー管理、プロジェクトの主要なステークホルダーとの継続的なコミュニケーションを計画するのに役立ちます。このstakeholderの分析の過程において、これらの条件に基づいてどのような格子かモデルを作成するべきであるか。
A. ステークホルダーのパワー/利益グリッド
B. ステークホルダー登録
C. 影響力/影響グリッド
D. サリエンス・モデル
回答を見る
正解: A
質問 #303
チーム契約は、どのようなタイプのリスク対応の例か?
A. 受諾
B. 緩和
C. 移籍
D. シェア
回答を見る
正解: D
質問 #304
ある組織が、不正アクセスに関連するリスクを低減するために、静止データの暗号化を導入している。残存リスクを評価するために考慮しなければならないのはどれか。
A. データ破棄の要件
B. クラウド・ストレージ・アーキテクチャ
C. データ保持要件
D. 鍵の管理
回答を見る
正解: D
質問 #305
リスク分析の結果を定量的に示すべきか、定性的な表現で示すべきかは、第一義的に以下の点に基づくべきである:
A. 具体的なリスク分析の枠組みを使用する。
B. リスクアセスメントの結果
C. マネジメントの要件
D. 組織のリスク許容度
回答を見る
正解: A
質問 #306
事業継続計画をテストする最も費用対効果の高い方法はどれか。
A. 卓上演習の実施
B. 主要ステークホルダーへのインタビューの実施
C. 災害復旧訓練の実施
D. フル機能練習の実施
回答を見る
正解: A
質問 #307
あなたはブルーウェル社のリスク管理責任者です。あなたの企業に脅威を与えているリスクがいくつかあります。あなたは、他のすべての不確実な要素が基準値に保たれているときに、各要素の不確実性が検討対象にどの程度影響を及ぼすかを調べることによって、最も高い可能性を持つこれらのリスク要因のエクスポージャを測定しています。あなたはどのタイプの分析を行っていますか?
A. 感度分析
B. フォールトツリー解析
C. 因果関係分析
D. シナリオ分析
回答を見る
正解: A
質問 #308
経営幹部による定期的なレビューのためにリスク状況報告書を作成する場合、報告書に以下が含まれていることを確認することが最も重要である:
A. 独立したリスク評価者による勧告
B. 組織に影響を与えた事件の概要
C. 個々のリスク・エクスポージャーの詳細な把握
D. ビジネス上のリスク・エクスポージャー
回答を見る
正解: C
質問 #309
内部監査報告書により、すべてのITアプリケーションデータベースが暗号化されていないことが明らかになった。リスクへの影響を評価するために最も重要な情報は次のうちどれでしょうか。
A. 一部のデータベースが暗号化されていないため。
B. 機密データを含む暗号化されていないデータベースのリスト。
C. 暗号化を実施するために必要なコスト。
D. 機密データにアクセスできるユーザー数。
回答を見る
正解: A
質問 #310
ポジティブなプロジェクトリスクを処理する方法として、次のうちどれが受け入れられますか?
A. リスクの特定
B. リスク・トリガー
C. リスクイベント
D. リスクへの対応
回答を見る
正解: A
質問 #311
リスク実務者がリスクマネジメントに関連するグローバルスタンダードを使用する主な理由は、次のうちどれですか?
A. リスク管理プロセスの継続的改善
B. リスクを認識する組織文化を構築する
C. 法的および規制上の要件を遵守する
D. リスク管理慣行におけるギャップを特定する
回答を見る
正解: A
質問 #312
統制の有効性を評価する方法として、最も適切なものはどれか。
A. アドホック・レポート
B. 予測分析
C. 継続的モニタリング
D. コントロールの自己評価
回答を見る
正解: B
質問 #313
新しく採用されたリスク実務者が、リスク登録簿が過去1年間更新されていないことに気づきました。リスク実務担当者はどのような行動をとるのがベストでしょうか?
A. プロセス改善を実施し、古いリスク登録簿を置き換える
B. リスク登録簿の更新プロセスの外部委託
C. リスク要因の変化を特定し、リスクレビューを開始する
D. 外部コンサルタントを雇い、リスク管理プロセスを再設計する。
回答を見る
正解: C
質問 #314
組織は、各プロセスに対する明確な説明責任を確立するために、リスク・オーナーシップを導入した。効果的なリスク・オーナーシップを確保するためには、以下のことが最も重要である:
A. リスクオーナーに決定権がある。
B. 上級管理職がプロセスを監督する。
C. リスクオーナーとプロセスオーナーの間に職務分掌が存在する。
D. プロセス・オーナーシップは、ITシステム・オーナーシップと一致している。
回答を見る
正解: C
質問 #315
ITリスクシナリオを企業のリスク登録簿に組み込む最大のメリットはどれか?
A. 企業におけるインシデントのエスカレーション・プロトコルの確立
B. 組織全体の管理予算が拡大される
C. エクスポージャーが組織のリスクプロファイルに統合されている
D. リスク選好度が事業部門マネジメントにカスケードされる
回答を見る
正解: A
質問 #316
最近、ある組織がマルウェアに感染しました。このような状況を解決し、包括的なリスク対応計画を策定するための最も効果的な方法は、以下を実行することである:
A. 脆弱性評価。
B. 根本原因分析。
C. 影響評価。
D. ギャップ分析。
回答を見る
正解: B
質問 #317
管理主要業績評価指標(KPI)のしきい値を定義する場合、整合させることが最も有用である:
A. 主要リスク指標(KRI)と事業のリスク選好度
B. 監査結果を伴う管理主要業績評価指標(KPI
C. 事業主のリスク許容度に応じた管理パフォーマンス
D. 企業リスク評価による情報リスク評価
回答を見る
正解: B
質問 #318
マイクは、所属する組織のNNPプロジェクトのプロジェクトマネージャーである。彼はプロジェクトチームと協力して、NNPプロジェクトのリスク対応を計画している。マイクは、プロジェクトチームとともに、プロジェクトにおけるリスク閾値を設定することを望んでいます。リスク閾値を設定する目的は何ですか?
A. 組織のリスク許容度の調査である。
B. リスク事象が起こるという警告サインである。
C. リスク事象に割り当てられる資金の限度額である。
D. 具体的な対応が必要なリスクを特定するのに役立つ。
回答を見る
正解: D
質問 #319
次のうち、脅威のサブカテゴリーはどれですか。3つ選びなさい。
A. ベンチマーキング
B. 費用便益分析
C. 品質適合コスト
D. チーム開発
回答を見る
正解: CDE
質問 #320
クラウドサービスプロバイダーに関連する契約には、以下を含めなければならない(MUST):
A. 事業復旧計画
B. 責任の所有
C. ソース・コード・エスクローの規定
D. プロバイダーの財務諸表
回答を見る
正解: B
質問 #321
あなたは企業のプロジェクトマネージャーです。あなたは、企業のある目標の成功を脅かす顕著な失敗であるリスクを特定しました。この特定したリスクは次のどのレベルに存在しますか?
A. 中程度のリスク
B. ハイリスク
C. 極めて高いリスク
D. 低リスク
回答を見る
正解: A
質問 #322
トムはブルーウェル社でプロジェクトマネージャーとして働いています。彼は、プロジェクトに影響を与える可能性のあるリスクを特定しています。リスクを特定するプロセスの次の入力のうち、リスクを特定するのに役立ち、予定されている活動を完了するためにかかる可能性の高いコストの定量的評価を提供するものはどれですか?
A. 活動時間の見積もり
B. リスク管理計画
C. コスト管理計画
D. 活動費の見積もり
回答を見る
正解: D
質問 #323
あなたとプロジェクトチームは、プロジェクト内に存在する可能性のあるリスクを特定する。リスクの中には、発生してもプロジェクトに大きな影響を与えない小さなリスクもあります。これらの特定されたリスク事象に対して、あなたは何をすべきでしょうか?
A. これらのリスクは排除できる。
B. これらのリスクは受け入れることができる。
C. これらのリスクは、優先順位の低いリスク監視リストに追加することができる。
D. すべてのリスクには、有効で文書化されたリスク対応が必要である。
回答を見る
正解: C
質問 #324
主要なリスク指標のしきい値を策定する上で、最も役に立つのはどれか。
A. 損失予想情報
B. ITサービスレベル契約
C. コントロール結果
D. 改善活動の進捗状況
回答を見る
正解: A
質問 #325
次のうち、全職員を対象としたリスク認識研修プログラムで取り上げるべき最も重要なトピックはどれですか?
A. リスク部門の役割と責任
B. ポリシーの遵守要件と例外処理
C. 組織の情報セキュリティリスクプロファイル。
D. 内部および外部の情報セキュリティインシデント
回答を見る
正解: B
質問 #326
組織全体のIT統制環境の有効性について、最も最新の情報を提供するのはどれか。
A. 定期的な侵入テスト。
B. 主要業績評価指標(KPI)。
C. 内部監査の結果
D. リスクのヒートマップ。
回答を見る
正解: D
質問 #327
パブリックソリューションを使用して組織内にインスタントメッセージングを導入する前に、データ漏えいのリスクを軽減するために実施すべきことは次のうちどれですか?
A. アクセス制御リスト
B. 許容される使用ポリシー
C. 侵入検知システム(IDS)
D. データ抽出ツール
回答を見る
正解: B

送信後に回答を表示する

質問の回答を得るには、電子メールと WhatsApp を送信してください。

注: 正しい試験結果を得ることができるように、電子メール ID と WhatsApp が有効であることを確認してください。

Eメール:
WhatsApp/電話番号:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.