すべての情報を見逃したくないですか?

認定試験に合格するためのヒント

最新の試験ニュースと割引情報

当社の専門家による厳選最新情報

はい、ニュースを送ってください

最新CISA模擬試験と試験問題集2024, 公認情報システム監査人|SPOTO

模擬試験は、最新のCISA認定試験の準備に欠かせない要素であり、いくつかの重要な利点があります。これらの模擬試験は実際の試験環境をシミュレートしており、受験者は実際の試験問題の形式、タイミング、難易度に慣れることができます。模擬試験で練習することで、受験者は自分の長所と短所を確認し、学習努力をより効果的に集中することができます。また、模擬試験は、各問題に適切な時間を配分することを学ぶため、時間管理能力の向上にも役立ちます。さらに、模擬テストでは、成績がすぐにフィードバックされるため、さらに注意が必要な分野が浮き彫りになり、継続的な学習努力の指針となります。SPOTOの最新のCISA模擬試験と2024年版の試験用ダンプを利用すれば、受験者は試験準備を強化し、合格の可能性を高めることができます。

他のオンライン試験を受ける
質問 #1
個人固有のアクセスニーズに基づいて、個人へのアクセスを許可および制限するための物理的セキュリ ティソリューションとして、最も適切なものはどれか。
A. ドアロックのボルト締め
B. 暗号ロック
C. 閉回路テレビ(CCTV)
D. 電子バッジシステム
回答を見る
正解: D
質問 #2
取締役会がITに関する十分な情報を受け取ることを保証する統制は、次のうちどれがBESTでしょうか?
A. CIOは、パフォーマンスと是正措置についてタイムリーに報告する。
B. 理事会、CIO、および技術委員会の間で定期的な会合が開かれる。
C. CIOは定期的にITトレンドレポートを取締役会に送付している。
D. 取締役会のメンバーはITに精通しており、CIOはIT問題について相談を受けている。
回答を見る
正解: A
質問 #3
会社のウェブサーバーにファイアウォールがインストールされました。ファイアウォールはどのような問題に対処しますか?
A. 情報の入手可能性
B. 内部ユーザーによる情報の不正変更
C. 外部からの情報アクセス
D. インターネットへの接続性
回答を見る
正解: A
質問 #4
プロジェクトの集合体全体をポートフォリオとして管理することの利点のひとつは、その必要性が浮き彫りになることだ:
A. プロジェクト間の依存関係を特定する。
B. 進行中のすべてのプロジェクトについてユーザーに知らせる。
C. 個々のプロジェクトのリスクを管理する。
D. 各プロジェクトの品質を管理する。
回答を見る
正解: D
質問 #5
IT部門が関与せずにIT資産を調達する場合の主なリスクは、次のうちどれですか?
A. 企業の調達基準が守られていない。
B. ビジネス部門は、IT部門にメンテナンス費用を負担させたいと考えている。
C. データセキュリティ要件は考慮されていない。
D. システムインベントリが不正確になる
回答を見る
正解: C
質問 #6
ある外部監査チームが、年次コンプライアンス監査において内部監査の作業を信頼するかどうかを決定している。この決定を行う際に、最も考慮すべきことは次のうちどれですか?
A. 経営陣の影響からの内部監査部門の独立性
B. 内部監査チームメンバーが保有する専門資格
C. 各監査役のコンプライアンス監査経験年数
D. 内部監査によって維持される文書のレベルと、証拠を収集するために使用される方法
回答を見る
正解: C
質問 #7
エンタープライズデータフローアーキテクチャのうち、コアデータウェアハウスからの情報のサブセットを表すレイヤーはどれか。
A. プレゼンテーション層
B. デスクトップ・アクセス・レイヤ
C. データマート層
D. データアクセス層
回答を見る
正解: C
質問 #8
ある組織は、BYOD(Bring Your Own Device)プログラムを許可するかどうかを決定している最中です。承認された場合、実施前に最初に必要な管理は次のうちどれでしょうか。
A. デバイスのベースライン構成
B. 機器登録
C. 利用規定
D. 意識向上プログラム
回答を見る
正解: C
質問 #9
IS監査人がスタッフのために実施したフィッシングシミュレーションテストの有効性を監査する際、最も懸念すべき調査結果はどれか。
A. スタッフは事前にテストについて知らされていなかった。
B. 検査結果がスタッフに伝えられていない。
C. テストに不合格だったスタッフは、フォローアップ教育を受けなかった。D
回答を見る
正解: C
質問 #10
電気サージプロテクターBESTは、サージによる衝撃から保護します:
A. 電磁妨害。
B. 停電。
C. たるみとスパイク
D. 電圧の低下。
回答を見る
正解: C
質問 #11
次のテストの種類のうち、大きく2つに分類されるものはどれか:QATとUAT?
A. インターフェーステスト
B. 単体テスト
C. システムテスト
D. 最終受入試験
回答を見る
正解: B
質問 #12
あるIS監査人が、重要なビジネスプロセスの効率に深刻な影響を与える、ソフトウェア管理プロセスの問題が繰り返し発生していることを発見した。推奨事項として最も適切なものはどれか。
A. 故障したシステムを交換する。
B. 補正制御を決定する。
C. 影響を受ける他のプロセスを特定する。問題の根本原因を特定する。
回答を見る
正解: C
質問 #13
ある組織が、契約プログラマを多用するサードパーティに、多くのアプリケーション開発業務を外注している。サードパーティの契約プログラマが組織のセキュ リティポリシーを遵守していることを最も確実に保証できるのは、次のうちどれでしょうか。
A. 請負業者の活動について定期的なセキュリティ評価を実施する。
B. アプリケーションの脆弱性スキャンを定期的に実施する。
C. コンプライアンス違反に対する罰則を契約書に盛り込む。
D. セキュリティポリシーの遵守について、毎年署名入りの合意を求める。
回答を見る
正解: A
質問 #14
情報セキュリティガバナンスをコーポレートガバナンスに統合する最も効果的な方法はどれか。
A. 情報セキュリティがIT戦略と整合していることを確認する。
B. ITバランススコアカードを定期的に経営幹部に提供する。
C. 情報セキュリティ予算要求を組織目標に整合させる。
D. 情報セキュリティの取り組みがビジネス目標を確実にサポートする。
回答を見る
正解: D
質問 #15
ある小さな組織が急成長を遂げ、新しい情報セキュリティポリシーの策定を計画している。次のうち、ポリシー作成に最も関連するものはどれですか?
A. 業界標準
B. ビジネスインパクト分析(BIA)
C. 事業目標
D. 過去の監査勧告
回答を見る
正解: D
質問 #16
事故後のレビューでは、行動の順序と相関関係を第一に分析しなければならない:
A. 関係者へのインタビュー B
B. C
C. D
回答を見る
正解: C
質問 #17
エンドユーザーが開発したアプリケーションシステムに関連する課題を管理するのに、最も効果的なのはどれか。
A. リスクに基づく分類の開発
B. 冗長サポート能力の導入
C. 実行ファイルの作成禁止
D. IT部門で使用されている管理手法の適用
回答を見る
正解: C
質問 #18
次の第4世代言語のうち、自己完結型データベース管理システムに依存しているものはどれか?
A. クエリーおよびレポートジェネレーター
B. 組み込みデータベース4GL
C. リレーショナルデータベース 4GL
D. アプリケーションジェネレータ
回答を見る
正解: B
質問 #19
ある情報セキュリティマネジャーが、経営幹部が情報セキュリティの取り組みを支援しないことを懸念している。この状況に対処する最も良い方法はどれか。
A. 情報セキュリティ機能がビジネスニーズと整合していることを示す。B
B. C
C. D
回答を見る
正解: D
質問 #20
あるIS監査人が、監査範囲を確認するために使用したアプリケーションインベントリに、クラウドベースのアプリケーションが含まれていないことを発見した。ビジネスプロセスのオーナーは、このアプリケーションは来年中に第三者によって監査される予定であると説明した。監査人の次のステップは、次のとおりである:
A. クラウドアプリケーションが監査範囲に与える影響を評価する。
B. 監査範囲をクラウドベースのアプリケーションを含むように修正する。
C. 第三者によって実施された監査報告書をレビューする。
回答を見る
正解: D
質問 #21
同じ監査プログラムに基づき、数年にわたってITの定期的なレビューを実施することによって生じるリスクとして、最も大きいものはどれか。
A. ルーチンワークが不注意を助長するため、ミスの量が増える。
B. 被監査者がすでに監査プログラムを知っているため、発見リスクが高まる。
C. プログラムが組織の現状に適合していない可能性があるため、監査リスクが高まる。
D. フィールドワークが面白くなくなるため、監査部門のスタッフの離職率が上がる。
回答を見る
正解: C
質問 #22
電子メディアに保存された機密データを破壊する最も効果的な方法はどれか?
A. 物理的破壊
B. デガウジング
C. ランダム文字の上書き
D. 低レベルフォーマット
回答を見る
正解: A
質問 #23
ある組織のITセキュリティポリシーでは、全従業員に対して年1回のセキュリティ意識向上トレーニングを義務付けている。研修の効果を示す証拠として、最も適切なものはどれか。
A. ソーシャル・エンジニアリング・テストの結果
B. 従業員へのインタビュー
C. インシデント対応チームへの問い合わせの減少
D. 無作為に選ばれた従業員によるアンケート
回答を見る
正解: D
質問 #24
あるIS監査人が、システムパフォーマンス監視ツールを観察したところ、組織にとって重要なサーバが、監査期間中、4台の仮想サーバのクラスタ全体で平均して高いCPU使用率を示していた。さらなる調査が必要かどうかを判断するために、IS 監査人はレビューを行うべきである:
A. システムプロセスのアクティビティログ
B. システム・ベースライン
C. 各仮想マシンに割り当てられるCPUの数
D. 組織の目標
回答を見る
正解: C
質問 #25
エクスプロイトと脆弱性の違いを知っておくべきです。次のうち、システムの弱点を指すものはどれですか?
A. 搾取
B. 脆弱性
C. 両方
回答を見る
正解: B
質問 #26
次のうち、セキュリティポリシーを確立するためのステップはどれか。
A. プラットフォームレベルのセキュリティベースラインを策定する。
B. ネットワークの設定パラメータを開発する、
C. 方針の策定と維持のためのプロセスを実施する。
D. RACIマトリックスを作成する。
回答を見る
正解: A
質問 #27
特権アクセスのレビュー中に、IS監査人は、ヘルプデスクの従業員の多くが、その職務に必要のない権限をシステム内で持っていることを観察した。次のうちどれを実装すれば、この状況を防げたでしょうか?
A. 職務の分離
B. 多要素認証C
C. D
回答を見る
正解: C
質問 #28
アカウントへの同時更新トランザクションが適切に処理されない場合、次のうちどれに影響しますか?
A. 完全性
B. 守秘義務
C. 可用性
D. 説明責任
回答を見る
正解: A
質問 #29
新システムの導入中、IS監査人は、特定の自動計算が規制要件に準拠しているかどうかを評価しなければならない。この保証を得るための最も良い方法はどれか。
A. ユーザー受入テストの結果を検査すること。
B. 監査ソフトウェアで計算を再実行する。
C. サインオフ文書を確認する。
D. 計算に関連するソースコードを確認する。
回答を見る
正解: D
質問 #30
組織のバックアッププロセスの監査を実施するIS監査人が最も懸念すべきことはどれか?
A. 書面によるバックアップポリシーはありません。
B. バックアップの失敗がタイムリーに解決されない。
C. 接続性の問題で復旧に時間がかかる。
D. サービスレベルが達成されていない。
回答を見る
正解: D
質問 #31
IS監査人が、知的財産が組織のデータ分類・保護方針で指定されたレベルまで保護されていないことを発見した。ビジネスオーナーはこの問題を認識しており、リスクを受け入れることを選択した。監査人がとるべき行動として最も適切なものはどれか。
A. 所見に留意し、正式な受理を要請する。
B. フォローアップ監査に所見を含める。
C. データ分類ポリシーを修正する。
D. 委員会を設置し、この問題をさらに調査する。
回答を見る
正解: A
質問 #32
IS監査人は、リソースの制約により、データベース管理者(DBA)が本番環境への変更の開発と実行を担当していることを発見した。監査人が最初に行うべきことはどれですか?
A. 代償となる管理が存在するかどうかを特定する。
B. 職務分掌(SoD)違反の可能性を報告する。
C. 別のデータベース管理者が変更できるかどうかを判断する
D. 導入前に、変更管理プロセスに従うことを確認する。
回答を見る
正解: C
質問 #33
あるIS監査人が、報告システムの読み取り専用ユーザの定期的なレビューが実施されていないことを発見した。IS監査人が次にとるべき行動はどれか。
A. この免除についてIT部門から口頭で確認を取る。
B. エンドユーザのリストを確認し、認可の可否を評価する。
C. この免除に対する経営陣の承認を確認する。
D. この管理プロセスの弱点を上級管理職に報告する。
回答を見る
正解: A
質問 #34
次のスパイウェアのうち、もともとエラーの原因を突き止めたり、スタッフの生産性を測定するために設計されたものはどれでしょう?
A. キーワード伐採
B. キーストロークの記録
C. ディレクトリ・ロギング
D. パスワードログ
E. 選択肢のどれでもない。
回答を見る
正解: B
質問 #35
次のうち、入退室管理ソフトウェアの最も重要な機能はどれですか?
A. 認証
B. 違反報告
C. 否認防止
D. 識別
回答を見る
正解: D
質問 #36
共有プリンターで印刷された機密文書の漏洩を防ぐ方法はどれか。
A. ハードコピーを作成するためにプリンターにキーコードを入力する必要がある。
B. 印刷文書の分類レベル付きヘッダーページの作成
C. ユーザーのコンピューターとプリンター間のデータストリームを暗号化する。
D. パスワードを使用して、許可されたユーザーがプリンターにドキュメントを送信できるようにする。
回答を見る
正解: D
質問 #37
次のデータベース・モデルのうち、データがチュールで表現され、リレーションにグループ化されているものはどれか。
A. 階層型データベースモデル
B. ネットワークデータベース・モデル
C. リレーショナル・データベース・モデル D
回答を見る
正解: D
質問 #38
標準化されたアプリケーションインターフェースを提供し、暗号化などの共通通信サービスを提供するために、データの変換を行うISO/OSIレイヤーはどれか。
A. アプリケーション層
B. セッション層
C. プレゼンテーション層
D. トランスポート層
回答を見る
正解: D
質問 #39
データを多重化する一般的な方法でないものはどれか?
A. 分析的多重化
B. 時分割多重
C. 非同期時分割多重 D
回答を見る
正解: A
質問 #40
次のクラウド・コンピューティング・サービス・モデルのうち、アプリケーションはサービス・プロバイダーによってホストされ、ネットワーク経由で顧客に提供されるのはどれか?A. サービスとしてのソフトウェア
A. B
B. C
C. D
回答を見る
正解: A
質問 #41
組織のセキュリティ対策が業界標準に準拠していることを経営幹部に示す最も良い方法はどれか。
A. 管理の成熟度に関する報告書
B. 最新の方針および手順の文書化
C. 業界で認められた枠組みの存在
D. 第三者評価結果
回答を見る
正解: A
質問 #42
あるオンライン小売業者のウェブサイトに、注文した商品と異なる商品が届いたという問い合わせが寄せられている。根本的な原因はデータ品質の低さにある。システムから誤ったデータを削除する努力にもかかわらず、複数のデータ品質の問題が発生し続けている。今後発生する可能性を低減するための最善の方法はどれか?
A. 従業員のデータ入力を検証するビジネスルールを導入する。
B. データ入力のための追加的な従業員トレーニングに投資する。
C. データ品質向上のための責任を割り当てる。
D. データクレンジング作業を信頼できる第三者に委託する。
回答を見る
正解: B
質問 #43
継続的なソフトウェアリリースプロセスの統制をレビューするIS監査人が最も懸念すべきはどれか。
A. 配備の成功を反映したリリース文書が更新されない。
B. テストライブラリが6ヶ月以上見直されていない。
C. 開発者は自分のリリースを承認できる。
D. テスト文書は本番リリースには添付されません。
回答を見る
正解: D
質問 #44
多国籍組織では、グローバル・セキュリティ・ポリシーよりもローカル・セキュリティ・ポリシーを実施すべきである:
A. グローバルセキュリティポリシーには、ローカルビジネスにとって不必要な管理が含まれている。
B. 事業目標は、現地の事業部門マネージャーによって定義される。
C. 現地規則の要件が優先される
D. 世界的な政策よりも、現地の規制を意識することの方がより現実的である。
回答を見る
正解: B
質問 #45
古くなった2台のサーバーから複数のアプリケーションを1台の新しいサーバーに統合する場合、最も懸念されるのは次のうちどれですか?
A. ソフトウェアライセンス費用の増加
B. メンテナンスにはより多くの調整が必要
C. 稼働率の低下
D. ネットワークトラフィックの増加 説明/参照
回答を見る
正解: C
質問 #46
2つの組織間で個人を特定できる情報(PII)の伝送をレビューする場合、IS監査人が評価すべき最も重要な要件はどれか。
A. 完全性
B. 適時性
C. 必要性
D. 正確さ
回答を見る
正解: C
質問 #47
IS監査人が、組織が法的・規制的要件に準拠していることを最も保証できるのはどれか。
A. ITマネージャーは、組織が法的および規制上の要件を遵守することに責任を負う。
B. 法規制要件に関連する統制が特定され、テストされている。C
C. D
回答を見る
正解: D
質問 #48
ある組織が、多くのリモートワーカーが同時に本番データにアクセスしようとするシナリオを使用して、事業継続性をテストしたいと考えています。このような状況で最も適したテスト方法はどれか。
A. アプリケーションのフェイルオーバー・テスト。
B. ネットワークのストレステスト。
C. 代替サイトのテスト。
D. ネットワーク侵入テスト。
回答を見る
正解: A
質問 #49
ある組織が社内で開発した Web アプリケーションがある。そのアプリケーションが外部からの攻撃から安全であることを示す証拠として、IS 監査人に最も適切なものはどれか。
A. 侵入テストの結果
B. データベースアプリケーションの監視ログ C
C. D
回答を見る
正解: S
質問 #50
あるIS監査人が、ビデオ監視され、近接カードで管理されている通信室へのすべてのアクセス試行をレビューすることを計画している。監査人にとって最も有用なものはどれか。
A. システム電子ログ
B. セキュリティ・インシデント・ログ
C. 手動によるサインインとサインアウトの記録
D. CCTV付き警報システム
回答を見る
正解: A
質問 #51
エンタープライズデータフローアーキテクチャのうち、データのコピー、データウェアハウス(DW)形式への変換、品質管理を担当するレイヤーはどれか。A. データステージングと品質層
A. B
B. C
C. D
回答を見る
正解: D
質問 #52
継続的モニタリングシステムが実施されている場合、IS監査人は、まず、以下のことを確認する必要がある:
A. 出力ファイルの場所と形式
B. 最も財務リスクの高いアプリケーション
C. 組織内のリスクの高い領域
D. 集中すべきコントロール
回答を見る
正解: D
質問 #53
強い電磁波干渉がある環境で、最も信頼できるネットワーク接続媒体はどれか?
A. 同軸ケーブル
B. 光ファイバーケーブル
C. シールド付きツイスト・ペア・ケーブル
D. ワイヤレスリンク
回答を見る
正解: A
質問 #54
フォローアップ監査の優先順位を決定するための主要な基準はどれか。
A. 経営陣の行動計画の複雑さ
B. 経営陣からの推薦
C. 監査計画に定められた監査サイクル
D. 過去の監査結果からの残存リスク
回答を見る
正解: D
質問 #55
ある多国籍企業が、既存の給与システムと人事情報システムを統合しようとしている。IS監査人が最も懸念すべきはどれか。
A. システム文書
B. 通貨換算 説明/参照
C. アプリケーション・インターフェース
D. スコープクリープ
回答を見る
正解: B
質問 #56
ある大手保険会社が、主要な財務アプリケーションをリプレースしようとしている。導入前レビューを実施する際、IS監査人が最も重視するのはどれか。A. 手続きの更新
A. B
B. C
C. D
回答を見る
正解: D
質問 #57
顧客組織との監査契約において、外部IS監査人に権限を付与するための文書として、最も適切なものはどれか。
A. 承認された業務明細書
B. 正式に承認された監査憲章
C. 関係者への内部メモ
D. 監査業務の提案依頼
回答を見る
正解: D
質問 #58
情報セキュリティポリシーを確立するための最初のステップはどれか。
A. セキュリティ管理評価
B. 事業リスク評価
C. 現行のグローバル・スタンダードの見直し
D. 情報セキュリティ監査
回答を見る
正解: B
質問 #59
ソフトウェア品質保証(QA)レビューは、システム開発の一環として計画される。開発プロセスのどの段階で最初のレビューを開始すべきでしょうか?
A. 実施前計画時
B. ユーザー要件定義の一環として
C. ユーザー受入テストの直前
D. フィージビリティ・スタディ
回答を見る
正解: A
質問 #60
ある組織のITセキュリティ・ポリシーは、ユーザーIDは個人を一意に識別するものでなければならず、ユーザーはパスワードを開示してはならないと定めている。IS監査人が、複数の一般的なユーザーIDが使用されていることを発見した。監査人にとって最も適切な処置はどれか。
A. コンプライアンス違反を調査する。
B. 最終監査報告書に所見を含める。
C. 懲戒処分を勧告する。
D. セキュリティポリシーの変更を勧める。
回答を見る
正解: D
質問 #61
フォローアップ活動の実施中に、IS監査人は、経営者が監査部門と当初議論し合意した是正処置とは異なる是正処置を実施したことを懸念する。このような状況を解決するために、IS監査人がとるべきBESTな行動は次のとおりである:
A. 代替策が十分にリスクを軽減しているかどうかを判断し、その結果を記録する。
B. 代替策を却下し、元の問題を高リスクとして再優先する。
C. フォローアップ活動を延期し、代替管理策を上級監査マネジメントにエスカレーションする。
D. 代替コントロールの実施により、別の監査を予定している。A
回答を見る
正解: D
質問 #62
ある組織では、従業員が私物のモバイルデバイスを業務に使用することを認めている。従業員のプライバシーを損なうことなく、情報セキュリティを維持できるのは、次のうちどれでしょうか。
A. 仕事環境とデバイス上の個人的な空間を仕切る
B. ユーザーがアプリケーションを追加できないようにする
C. 勤務時間中の私的目的でのデバイス使用の制限
D. デバイスにセキュリティソフトウェアをインストールする
回答を見る
正解: C
質問 #63
重要業績評価指標(KPI)を使用してITプロジェクトの初期目標に対する進捗を追跡する最も重要な理由は、KPIである:A. ITプロジェクトをアウトソーシングするかどうかの経営判断に影響を与える。
A. B
B. C
C. D
回答を見る
正解: D
質問 #64
情報セキュリティプログラムの有効性を判断する際に、IS監査人が評価すべき最も重要なものはどれか。
A. セキュリティプログラムの目的を認識しているユーザの割合
B. 正当な理由とともに承認されたポリシー例外の割合
C. 望ましい管理目標の達成率
D. 報告されたセキュリティインシデントの割合 説明/参照
回答を見る
正解: A
質問 #65
クラウドベースのシステムのアプリケーション統制を評価するための監査を計画する場合、IS監査人にとって最も重要なのは、以下の点を理解することである:
A. 監査対象の事業エリアの方針および手順。
B. システムがサポートするビジネスプロセス
C. クラウドベースのシステムに関連する可用性レポート。
D. システムのアーキテクチャとクラウド環境。
回答を見る
正解: A
質問 #66
あるデータセンターのIS監査において、プログラマーが運用プログラムに対して緊急修正を行うことが許可されていることが判明した。IS監査人の主な推奨事項はどれか。
A. 変更が事後の承認とテストの対象となることを確実にするために、バイパスの使用 ID 手続きを設けるべきである。
B. 緊急修理を行う能力は、選ばれた重要な担当者に限定すべきである。
C. C
D. 緊急時のプログラム変更は、運用システムに適用する前に、プログラムの移行とテストの手順を踏むべきである。
回答を見る
正解: B
質問 #67
復旧時間の目標(RTO)が非常に短い場合、次のサイトのうちどれが最も適切か?
A. モバイル
B. 冗長
C. 共有
D. 暖かい
回答を見る
正解: A
質問 #68
ある組織のサーバーの年次セキュリティレビューにおいて、機密性の高い顧客データを含む顧客サービスチームのファイルサーバーが、組織内のすべてのユーザーIDからアクセス可能であることが判明した。情報セキュリティマネジャーが最初にすべきことはどれか。
A. データ所有者に状況を報告する。
B. データのあるフォルダのアクセス権を削除する。
C. ファイルのアクセス権を適切に管理するために、カスタマーサービスチームをトレーニングする。
D. サーバをネットワークから隔離する。
回答を見る
正解: C
質問 #69
データプライバシーに関するIS監査人の主な役割はどれか。
A. データプライバシー法の遵守の確保
B. データプライバシー要件の組織への伝達
C. 組織のデータ・プライバシー方針の立案
D. 個人情報の取扱いが個人情報保護方針と一致していることの確認
回答を見る
正解: B
質問 #70
組織がPlatform as a Service(PaaS)を利用する理由として、最も可能性が高いものはどれか。
A. サードパーティがホストするアプリケーションの運用
B. オペレーティングシステムのインストールと管理 C
C. D
回答を見る
正解: C
質問 #71
成熟度モデルの最上位レベルの特徴はどれか。
A. 正式な基準と手順がある。
B. プロジェクトは管理監督下で管理される。
C. 継続的な改善プロセスが適用される。
D. プロセスは継続的に監視される。
回答を見る
正解: C
質問 #72
組織のネットワーク・セキュリティ手順と管理の有効性を評価する場合、最初に検討すべきはどれか。
A. データ復旧能力
B. 許可されたデバイスのインベントリ
C. 脆弱性の修復
D. マルウェア対策
回答を見る
正解: A
質問 #73
ビジネスプロセスオーナー向けのセキュリティ研修プログラムに、最も優先的に含めるべきものはどれか。
A. アプリケーションの脆弱性
B. 報告されたセキュリティ・インシデントのリスト
C. アプリケーションの回復時間
D. セキュリティリスクの影響
回答を見る
正解: D
質問 #74
ある組織が、機密性の高い企業アプリケーションに接続するモバイルデバイスの使用を導入しようとしている。データ漏えいのリスクを軽減するための推奨事項として、最も適切なものはどれか。
A. 遠隔データ消去
B. GPS追跡ソフトウェア
C. 暗号化RFIDタグ
D. データの暗号化
回答を見る
正解: C
質問 #75
電子商取引環境における通信障害のリスクは、BESTを使用することで最小限に抑えることができる:
A. 代替ルーティングまたは多様なルーティング
B. 送信時間を最小限にする圧縮ソフトウェア
C. パケットフィルタリングファイアウォールによるメッセージのリルート
D. 機能的またはメッセージの承認
回答を見る
正解: D
質問 #76
IS監査を計画する際、最初に検討すべきはどれか。
A. 最近の財務情報
B. 事業部門の年間予算
C. IS監査基準
D. ビジネス環境
回答を見る
正解: C
質問 #77
効果的な災害復旧計画(DRP)が実施されていることを示すのに、最も適切なものはどれか。
A. 定期的なリスク評価
B. 完全な運用テスト C
C. D
回答を見る
正解: C
質問 #78
Wi-Fiプロテクト・アクセスは、どのIEEE規格の大部分を実装しているか?
A. 802
B. 802
C. 802
D. 802
E. 選択肢のどれでもない。
回答を見る
正解: A
質問 #79
ある多国籍企業が、セキュリティガバナンスの枠組みを導入しようとしている。情報セキュリティマネジャーの懸念は、地域によってセキュリティ慣行が異なることである。最初に評価すべきはどれか。
A. 現地の規制要件
B. 現地のIT要件
C. 国境を越えたデータモビリティ
D. 企業のセキュリティ目標
回答を見る
正解: C
質問 #80
ビジネス・プロセス・リエンジニアリング・プロジェクトのレビューにおいて、IS監査人の主な関心事は、新しいビジネス・モデルかどうかを判断することである:
A. 業界のベストプラクティスに沿っている。
B. 組織の目標と一致している。
C. ベンチマーキングの結果を活用する。
D. 主要業績評価指標を満たしている。
回答を見る
正解: B
質問 #81
あるIS監査人が、データ品質に継続的な問題があるため、ある組織の販売・購買システムをレビューしている。次のうちどれを分析すれば、収益損失を判断するために最も有用な情報が得られますか?
A. 問題数と平均ダウンタイムの相関関係
B. システム内にデータ検証コントロールを実装するコスト
C. データ取得費用と売上減の比較
D. データエラーと取引価値の損失との相関関係
回答を見る
正解: C
質問 #82
ISO 9126は、製品の品質評価を支援するための規格である。次のうち、一連の機能とその指定された特性の存在に関係する一連の属性として定義されるものはどれか。A. 信頼性
A. B
B. C
C. D
回答を見る
正解: D
質問 #83
システム開発手法としてのプロトタイピングの主な利点は何ですか?
A. 検査の必要性を減らす。
B. IS監査人がシステムをレビューする時間を最小限にする。
C. ユーザーの満足度を高める。
D. 文書化が不要になる。
回答を見る
正解: D
質問 #84
あなたは収益性の高い銀行のセキュリティ・スタッフの一員であり、毎日、ネットワーク上のすべてのトラフィックがログに記録され、後で確認できるようになっている。毎週金曜日に大きな入金が行われるとき、あなたはTCPパケットの「Urgent Pointer」フィールドに置かれた一連のビットを目にする。これはわずか16ビットであり、たいしたことではないが、あなたには気になる:
A. これは銀行ネットワーク通信における秘密のチャネリングの兆候である可能性があり、調査が必要である。
B. ネットワークケーブルが損傷している可能性があります。
C. ネットワークカードやドライバの不具合の症状である可能性があります。
D. 前のフィールドの16ビットのチェックサム値が、緊急ポインタの16ビットフィールドにオーバーランしてこの状態を引き起こすことがあるので、これは正常なトラフィックである。
回答を見る
正解: A
質問 #85
システム開発におけるプロトタイピングの主な利点は何でしょうか?
A. ユーザー満足度の最大化
B. 内部統制が不要になる
C. 報告の正確性を高める
D. D
A. プログラムが適切な承認を得て本番環境に移行されていることをテストする際に、最も適している母集団は何ですか。
E.
A. アプリケーション・プログラミング・マネージャーが提供する変更点のリスト
F. B
G. C
D. 変更諮問委員会の議事録
回答を見る
正解: A
質問 #86
事業継続計画の最も重要な機能は、以下のとおりである:
A. 重要なビジネス機能を確実に復旧させる。
B. 事業継続計画のテストを評価する手順を提供する。
C. 災害が発生した場合のイベントスケジュールを提供する。
D. すべての業務機能が復旧したことを確認する。
回答を見る
正解: D
質問 #87
次のうち、ハッカーに対して使ってはいけない戦術はどれか?
A. 誘引
B. 囮捜査
回答を見る
正解: B
質問 #88
ある組織のITインシデント管理実務のレビューにおいて、IS監査人はインシデント解決文書の質が低いことを発見した。この問題に対処するための推奨事項として、最も適切なものはどれか。
A. サービスデスクスタッフに、サービス管理ツールであらかじめ選択された回答から選択して文書を作成してもらう。
B. サービスデスクのスタッフが十分な情報を得た場合にのみ、インシデントチケットを開くことを義務付ける。
C. インシデント解決手順を改訂し、適用される更新についてサービスデスクスタッフにトレーニングを提供する。解決文書のピアレビューとサービスデスク管理者のサインオフを要求する。
回答を見る
正解: A
質問 #89
IS 監査人は、次の SDLC フェーズのどれにおいて、統制がシステム仕様に組み込まれていることを発見すると予想しますか?A. 開発
A. B
B. C
C. D
回答を見る
正解: B
質問 #90
電子商取引アプリケーションシステムの編集ルーチンの有効性を評価する上で、最も決定的な監査手続きはどれか。
A. 知識豊富なユーザーへのインタビュー
B. 試験取引の利用
C. ソースコードのレビュー
D. プログラム文書のレビュー
回答を見る
正解: S
質問 #91
余剰のコンピュータ機器を従業員に処分する前に実施すべき手続きは、次のうちどれですか?
A. オペレーティングシステムのコマンドを使用して、ハードドライブからすべてのファイルを削除します。
B. 機械を受け取る従業員に、秘密保持契約書に署名させる。
C. アプリケーションの削除コマンドを使ってファイルを削除する。
D. ハードディスクをランダムなデータで上書きする。
回答を見る
正解: B
質問 #92
ある監査人が、給与計算プロセスにおける個人データプライバシー管理の適切性を立証することを目的とした監査プログラムを作成しています。次のうち、どの項目を含めることが最も重要でしょうか?
A. データ変更の承認
B. 管理ユーザ活動の監査ロギング
C. 職務の分離管理
D. ユーザアクセスプロビジョニング C ホットサイトをレビューしているとき、IS監査人はあるタイプのハードウェアプラットフォームがインストールされていないことを発見した。IS監査人は、最初に次のことを行うべきである:
E.
A. ホットサイトでのハードウェアの購入と設置を推奨する。
F. B
G. C
D. 新マシンの納品までのリードタイムを設定する。
回答を見る
正解: C
質問 #93
組織の情報セキュリティ方針、手順、第三者ベンダーに対する管理体制を評価する際、IS監査人が最も留意すべきことはどれか。
A. サードパーティ・ベンダーには、独自の情報セキュリティ要件がある。
B. データを保護する責任は組織にある。
C. コンプライアンス違反は容易に発見される。
D. すべての第三者ベンダーに対して、同じ手順と管理が使用される。
回答を見る
正解: D
質問 #94
ある組織が、単一のホスト上で複数のオペレーティングシステムを使用できる仮想化戦略の導入を計画しています。この戦略で最も懸念すべきことは次のうちどれですか?
A. 十分な収納スペース
B. 管理の複雑さ
C. ネットワーク帯域幅
D. アプリケーション性能
回答を見る
正解: B
質問 #95
次のうち、固定長のビット群に対して変化しない変換を行う共通鍵暗号を指すものはどれか。
A. ストリーム暗号
B. ブロック暗号
C. チェック暗号
D. 文字列暗号
E. 選択肢のどれでもない。
回答を見る
正解: B
質問 #96
IS監査後、主要な利害関係者に伝えることが最も重要なリスクの種類はどれか。
A. コントロール
B. 残留
C. 監査
D. 固有
回答を見る
正解: S
質問 #97
100以上のエンドポイントを使用するオンライン・アプリケーションをサポートするサーバーの仕様を決定する場合、考慮すべき最も重要な要素はどれか。
A. 異なるシステムの高い可用性
B. 利用可能なシステム間の費用便益比較
C. ベンダーとその顧客ベースの評判
D. ピーク時の取引量推定
回答を見る
正解: A
質問 #98
情報セキュリティマネジャーがセキュリティとビジネスの目標を一致させるためにとるべき行動として、最も適切なものはどれか。
A. 事業戦略の見直し
B. ステークホルダーとの積極的な関わり
C. ビジネスインパクト分析の実施
D. 主要業績評価指標の定義
回答を見る
正解: A
質問 #99
組織が事業継続計画を策定する理由として、最も適切なものはどれか。
A. 情報システムとプロセスの詳細な説明を作成する。
B. 情報システムとプロセスのユーザーを特定する
C. 主要なシステムやプロセスの障害から生じるコストを回避する。
D. システム、プロジェクト、戦略の事業単位での優先順位付けを確立する。
回答を見る
正解: C
質問 #100
セキュリティに従って分類情報にラベルを付ける。
A. 分類ごとにベースライン管理を特定する必要性を減らす。
B. 必要な対策の数と種類を減らす。
C. 人々が情報を安全に取り扱う可能性を高める。
D. 情報が安全に扱われなかった場合の結果に影響する。
回答を見る
正解: D
質問 #101
データの正規化を行う際の最大のリスクは、次のようなものである:
A. データモデルの複雑化
B. 監査ログの複製
C. データの冗長性が減少する D
回答を見る
正解: B
質問 #102
プライバシー関連のリスクについてデータベースを評価するとき、IS監査人が判断すべき最も重要なものはどれか。A. 本番データのコピーがマスクされているかどうか
A. B
B. C
C. D
回答を見る
正解: C
質問 #103
潜在的なソフトウェアの脆弱性について仮想サーバーファームの監査を実施する場合、IS監査人が最も大きなリスクと考える観察結果はどれか。
A. ハイパーバイザーは四半期ごとに更新されます。
B. ゲストオペレーティングシステムは毎月更新されます。
C. アンチウイルスソフトがゲストOSにのみ実装されている。
D. さまざまなゲストオペレーティングシステムが1つの仮想サーバー上で動作している。C IS監査人は、買掛金システムのリスクに対する統制をマッピングしている。システムのエラーを検出するための統制として、最も適切なものはどれか。
E.
A. ビジネス目標とプロセスの整合性
F. B
G. C
D. 入力検証
回答を見る
正解: D
質問 #104
次の役割のうち、データベース管理者(DBA)の役割と組み合わせると、職務分掌の矛盾が生じるのはどれですか?
A. 品質保証
B. システムアナリスト
C. アプリケーションエンドユーザー
D. セキュリティ管理者
回答を見る
正解: D
質問 #105
連邦情報処理標準規格(FIPS)は、以下の人々によって策定された:
A. 米国連邦政府
B. 米国規格協会
C. ISO
D. IEEE
E. IANA
F. どれにも当てはまらない
回答を見る
正解: A
質問 #106
監査人は、管理者ユーザ ID が月末の更新を実行するために 3 人の財務マネジャー間で共有されていることに気づきました。財務システムの管理者IDを効果的に管理するための推奨事項として、最も適切なものはどれか。
A. 個別ソフトウェアトークンの使用を実施する B
B. C
C. D
回答を見る
正解: C
質問 #107
自動イベント監視ソリューションを使用する組織にとっての主な利点は、次のうちどれですか?
A. フォレンジック分析の強化
B. インシデントへのレスポンスタイムの向上 C
C. D
回答を見る
正解: D
質問 #108
ITポリシーがビジネス要件にどの程度整合しているかを判断するための重要業績評価指標(KPI)として、最も適切なものはどれか。
A. 承認された例外ポリシーの数
B. 保険契約違反の総費用
C. 政策を支える総コスト
D. 本方針に関するお問い合わせ件数
回答を見る
正解: A
質問 #109
事業継続計画(BCP)のテスト結果をレビューする場合、IS監査人にとって最も重要なのは、テストが実施されたかどうかを判断することである:
A. 主要な業務を再開する能力を検証する。
B. システム環境の変化を考慮する。
C. 重要な記録を検索する能力を評価する。
D. 前回のテスト以降に発生した活動をフォローする。
回答を見る
正解: D
質問 #110
あるクラウドサービスプロバイダーは、統制の独立した評価を提供できない。プロバイダが組織の情報を適切に保護できるという保証を得るための最も良い方法はどれか。
A. プロバイダーの他の顧客から提供されたリファレンスをチェックする。
B. 契約に従って監査権を発動する。
C. プロバイダーの情報セキュリティポリシーを確認する。
D. プロバイダーの自己評価を確認する。
回答を見る
正解: B
質問 #111
サービスとしてのソフトウェア(SaaS)契約を評価する際に、IS監査人が考慮すべき最も重要なものはどれか。
A. 総所有コスト
B. ソフトウェアの更新頻度
C. 物理的セキュリティ
D. ソフトウェアの可用性
回答を見る
正解: S
質問 #112
アプリケーションシステムのレビュー中に、IS監査人が、重複取引の入力を防止するために設計された自動化された統制を特定した。その統制が設計どおりに機能することを検証する最善の方法は何か。
A. 定期的な照合を実施する。
B. 品質保証(QA)テスト結果をレビューする。重複取引に対応するデータを求めるために、一般化された監査ソフトウェアを使用する。本番システムのコピーに重複トランザクションを入力する。
回答を見る
正解: A
質問 #113
ITの目標が組織の目標と一致しているかどうかを判断するために、最も役に立つのはどれか?
A. バランススコアカード
B. エンタープライズ・アーキテクチャ
C. 主要業績評価指標
D. エンタープライズダッシュボード
回答を見る
正解: C
質問 #114
容量監視をレビューしているとき、IS監査人が、平均利用率が30%未満であるにもかかわらず、ストレージ容量が上限に達しているインシデントがいくつかあることに気づいた。IS監査人は、次のうちどれが根本原因であると特定する可能性が最も高いですか?
A. アラートに対するITの対応が遅すぎた。
B. 作成されたデータ量は、運用上受け入れがたいものだった。
C. 保管スペースはもっと大きくすべきだった。
D. 利用のダイナミクスが適切に考慮されていなかった。
回答を見る
正解: D
質問 #115
フォローアップ監査において、IS監査人は、以前に特定された問題が適切に是正されていないと結論付けた。受審者は、リスクは対処されたと主張している。監査人は次のことを行うべきである:
A. 第三者による独立した評価を推奨する。
B. 不一致を確立された手続きに従って報告する。
C. 来年の調査結果をフォローアップする
D. 受審者の立場を受け入れ、発見をクローズする。
A. ある組織が、従業員が個人のモバイルデバイスを会社の電子メールに使用することを許可している。IS監査で最も懸念すべきはどれか。
E.
A. プライベートデバイスへのメール転送には、過剰なネットワーク帯域幅が必要
F. B
G. C
D. ヘルプデスクは、さまざまな種類のプライベート・デバイスを完全にサポートすることはできません。
回答を見る
正解: S
質問 #116
ある病院の重要なサーバーがランサムウェアによって暗号化された。病院はこのサーバーなしでは効果的に機能できない。病院が身代金の支払いを回避するために最も効果的な方法はどれか。A. 継続的なサーバーの複製プロセス
A. B
B. C
C. D
回答を見る
正解: B
質問 #117
C.D. IS監査人が被監査者との終了ミーティングで最も重要なことはどれか。
A. 報告書に記載された事実が正しいことを確認する。
B. 推奨事項の実施日を明記すること。
C. 是正措置を決定する際に意見を求める。
D. 推奨事項を経営幹部に伝える。
回答を見る
正解: C
質問 #118
情報セキュリティプログラムの成功にとって最も重要なものはどれか。
A. ビジネスと情報セキュリティの統合
B. 情報セキュリティとIT目標の整合性
C. 情報セキュリティに対する経営陣のコミットメント
D. 情報セキュリティに対する利用者の説明責任
回答を見る
正解: A
質問 #119
インシデントのエスカレーション計画を策定する際に最も考慮すべきことは、以下のことを確実にすることである:
A. 情報資産は分類される。
B. 適切な利害関係者が関与している。
C. 影響の大きいリスクが特定された。
D. 要件はフォレンジック分析をカバーする。
回答を見る
正解: C
質問 #120
財務担当者の職務分掌に関する監査勧告が実施されたことを示す状況報告を受けた場合、IS監査人はどのような行動をとるのがベストですか?
A. 十分な職務分掌管理が行われていることを確認する。
B. 職務分掌の方針と手順の文書を要求する。
C. C
D. 推奨事項が実施されていることを事業者に確認する。D
回答を見る
正解: D
質問 #121
次のデータ検証コントロールのうち、あらかじめ定義された範囲の値に対して入力データを検証するものはどれですか?
A. レンジチェック
B. テーブル検索 C
C. D
回答を見る
正解: C
質問 #122
ある IS 監査人が、アプリケーションサーバの設定に一貫性がなく、潜在的なセキュリティ脆弱性があることを発見した。監査人が最初に推奨すべきはどれか。
A. サーバーのベースライン基準を実施する。
B. ワークフローツールを使用して変更管理プロセスを改善する。
C. アプリケーション所有者に、メトリクスを監視する責任を負わせる。
D. アプリケーションサーバーに単一のベンダーを使用する。
回答を見る
正解: A
質問 #123
データセンターの改修プロジェクトに関与するIS監査人の責任として、最も適切なものはどれか。
A. プロジェクトに携わる責任者の独立したレビューの実施
B. プロジェクトが予定通りに進行し、マイルストーンが達成されるようにすること。
C. プロジェクトを成功裏に完了させるための日常活動の実行
D. データセンターの管理設計に対するサインオフの提供
回答を見る
正解: C
質問 #124
組織のITガバナンスのレビューにおいて、IS監査人が考慮すべき最も重要なものはどれか。
A. 資金配分
B. リスク管理手法
C. 定義されたサービスレベル
D. 意思決定の責任
回答を見る
正解: B
質問 #125
アプリケーションシステムのリリース後、IS監査人は、システムが組織に価値を提供していることを検証したいと考えています。監査人のBESTな行動は以下の通りである:
A. コンプライアンス・テストの結果を確認する。
B. 顧客満足度の向上を数値化する。
C. アプリケーションシステムのリリース以降、リスクが低下していることを確認する。
D. ビジネスケースで定義された利益とのギャップ分析を行う。
回答を見る
正解: C
質問 #126
ある IS 監査人が、サードパーティベンダーの主要業績評価指標(KPI)報告のレビューを実施した。次の発見事項のうち、監査人が最も懸念すべきものはどれですか?
A. いくつかのKPIは文書化されていない。
B. KPIが更新されたことがない。
C. KPI データが分析されていない。
D. KPIが明確に定義されていない。
回答を見る
正解: D
質問 #127
IS監査人がコンピュータ支援監査技術(CAAT)を使用する主な理由はどれか。
A. 集団全体を効率的に検査するには
B. 生産データを直接テストする
C. 検査のための自動サンプリング
D. 情報への迅速なアクセスを可能にする
回答を見る
正解: S
質問 #128
データセンター運用の有効性をレビューする場合、IS監査人は、まずシステム性能を確立する:
A. 合意されたサービスレベルに照らして監視され、報告される。
B. 実施時に設定された予想利用レベルを反映する。
C. メーカーが指定する期待目標を満たす。
D. は、そのシステムに対して一般に受け入れられている信頼性レベルの範囲内である。
回答を見る
正解: C
質問 #129
サイバー攻撃を受けた組織が、影響を受けたユーザのコンピュータのフォレンジック分析を実施している。このプロセスをレビューするIS監査人が最も懸念すべきはどれか。
A. チェーン・オブ・カストディが文書化されていない。
B. 法務部門は関与していない。
C. 各コンピューターからデータのコピーを取得するために、イマジネーション・プロセスが使用された。
D. 監査が関与したのは情報の抽出時のみ。
回答を見る
正解: B
質問 #130
災害復旧計画の有効性を評価するために、IS監査人は以下の事項を確認する必要がある:
A. テスト計画と過去のテスト結果。
B. 事業継続計画における計画と手順。
C. バックアップ設備の容量
D. ハードウェアとソフトウェアの在庫
回答を見る
正解: D
質問 #131
多くのWEPシステムは、比較的安全でない形式のキーを要求する。これはどのような形式ですか?
A. バイナリ形式。
B. 16進形式。
C. 128ビットフォーマット。
D. 256ビットフォーマット。
E. 選択肢のどれでもない。
回答を見る
正解: B
質問 #132
スピアフィッシングから組織を守るのに最適なものはどれか?
A. 電子メールコンテンツフィルタリング B
B. C
C. D
回答を見る
正解: B
質問 #133
SaaS(Software as a Service)環境における顧客組織の責任はどれか。
A. 不正アクセスの検知
B. ユーザが適切に認証されていることの確認
C. 必要なときにデータを利用できるようにする
D. 悪意のあるコードの挿入を防ぐ
回答を見る
正解: A
質問 #134
ある組織が、サブプロセスの一部をサービス・プロバイダーにアウトソーシングしている。そのプロバイダーに対する監査計画を策定する際、組織の内部監査人はFIRSTを実施しなければならない:
A. プロバイダーの業務管理を評価する。
B. 監査目的をプロバイダーと協議する。
C. プロバイダーの内部監査報告書のレビュー
D. プロバイダーとの契約を見直す
回答を見る
正解: B
質問 #135
IS監査人は、重要なビジネスプロセスを特定し、優先順位をつける際にたどったプロセスをレビューしている。このプロセスは
A. バランススコアカード
B. ビジネスインパクト分析(BIA)。
C. 事業継続計画(BCP)のオペレーション・コンポーネント。
D. 企業リスク管理計画
回答を見る
正解: D
質問 #136
バックアップ手順の監査を実施しているIS監査人が、バックアップテープが毎週回収され、サードパーティのホスティング施設でオフサイト保管されていることを観察した。バックアップテープ上のデータを保護する最善の方法はどれか。
A. 施設を出る前にデータが暗号化されていることを確認する。
B. 輸送会社がすべての貨物に署名を得るようにすること。
C. データが改ざん防止の施錠された容器で輸送されていることを確認する。
D. データ転送がログに記録されていることを確認する。
回答を見る
正解: A
質問 #137
不正の発見において、予想される発生率が小さく、特定のコントロールが重要である場合によく使われるサンプリング技法はどれか。
A. ディスカバリーサンプリング
B. 通貨単位のサンプリング
C. ストップ・オア・ゴー・サンプリング
D. 無作為抽出
回答を見る
正解: D
質問 #138
セキュリティポリシーの策定プロセスをレビューする際、IS 監査員が検証すべき最も重要なものはどれか。
A. 主要な利害関係者が積極的に関与している証拠
B. 企業のリスク管理システムからのアウトプット
C. コントロールの枠組みの特定
D. 経営陣の承認の証拠
回答を見る
正解: D
質問 #139
次のうち、実体関係図で判断できるものはどれか。
A. データオブジェクト間のリンク
B. 外部事象の結果としてシステムがどのように振る舞うか。
C. データがシステム内を移動する際にどのように変換されるか
D. データオブジェクトの動作モード
回答を見る
正解: A
質問 #140
IS 監査員は、組織がインシデントを検出するために利用できるデータにギャップがあることを観察した。組織のセキュリティインシデント対応能力を向上させるための推奨事項として、最も適切なものはどれか。
A. インシデントのエスカレーションの手順を文書化すること。
B. インシデントの分類手順を文書化する複数の情報源から収集したセキュリティログを関連付ける。アラートとセキュリティログ情報を一元化する。
回答を見る
正解: C
質問 #141
組織の情報セキュリティポリシーの実施に成功したことを示す最良の指標は何か。
A. フィッシングの成功件数の減少
B. ヘルプデスクへの問い合わせ件数の削減
C. コンプライアンス違反による罰則の発生件数の減少
D. セキュリティイベントの誤検出件数の削減
回答を見る
正解: B
質問 #142
重要なアプリケーションをクラウドサービスプロバイダーにアウトソースすることが決定された場合、次のうちどれを更新することが最も重要でしょうか?
A. プロジェクトポートフォリオ
B. ITリソース計画
C. IT予算
D. ビジネスインパクト分析(BIA)
回答を見る
正解: B
質問 #143
IS監査人が独立性を維持しながら、統制の自己評価(CSA)を促進できる活動は、次のうちどれでしょうか?CSA 質問票の作成
A. B
B. C
C. D
回答を見る
正解: C
質問 #144
ITプロジェクトのスコープの変更がプロジェクトマネージャーに正式に提出されました。プロジェクトマネージャーは次に何をすべきでしょうか?
A. スコープの変更を反映するためにプロジェクト計画を更新する。
B. プロジェクトチームとその変更について話し合い、承認すべきかどうかを判断する。
C. 変更の承認を得るために、変更を変更諮問委員会にエスカレーションする。
D. 変更がスケジュールと予算にどのように影響するかを決定する。
回答を見る
正解: B
質問 #145
ある組織は、定められた期限までに地域の規制要件に準拠していなければ、厳しい罰金や罰則に直面する。上級管理職は、コンプライアンスを達成するための行動計画を作成するよう、情報セキュリ ティマネージャーに依頼した。計画立案に最も役立つ情報はどれか。
A. ビジネスインパクト分析の結果 B
B. C
C. D
回答を見る
正解: D
質問 #146
ある組織では、BYOD(Bring Your Own Device)プログラムが承認されています。個人所有デバイスのアプリケーション制御を実施する最も効果的な方法は、次のうちどれですか。
A. モバイルデバイス管理ソリューションを導入する。
B. モバイルデバイスの使用に関するポリシーを策定する。
C. Webアプリケーションファイアウォールを実装する。
D. 承認されたアプリケーションの使用に関してユーザーを教育する。
回答を見る
正解: D
質問 #147
IS監査人が、ある組織のインシデント管理プロセスと手順をレビューしている。次の観察事項のうち、監査人が最も懸念すべきものはどれですか?
A. 効果的でない事故分類
B. 効果的でないインシデントの優先順位付け
C. 効果的でない事故検知
D. 効果的でない事故後のレビュー
回答を見る
正解: D
質問 #148
ITアウトソーシング契約をレビューするIS監査人が最も懸念するのは、次のうちどれですか?説明/参照A. 複数のIT担当者がベンダーと同じ機能を実行している。
A. B
B. C
C. D
回答を見る
正解: C
質問 #149
障害の結果、ITシステムに緊急の変更が加えられた。この組織の情報セキュリティマネジャーが最も懸念すべきことはどれか?
A. 運用チームは、回帰テストを行わずに変更を実施した。
B. この変更には適切なリスク評価が含まれていなかった。
C. 実施後に変更の文書化を行った。
D. 情報セキュリティマネジャーは、実施前にその変更を確認しなかった。
回答を見る
正解: S
質問 #150
監査中に、常備注文のある複数のサプライヤがサプライヤ・マスタ・ファイルから削除されていることが発覚した。このような事態を未然に防ぐことができる管理策は、次のうちどれでしょうか。
A. 論理関係のチェック
B. 存在チェック
C. テーブル・ルックアップ
D. 参照整合性
回答を見る
正解: A
質問 #151
組織の情報セキュリティポリシーを見直す必要があることを示すものとして、最も適切なものはどれか。
A. 年次ITリスク評価の完了
B. ビジネス取引の複雑化
C. 経営陣が承認した例外の増加
D. 監査報告書に低リスクの指摘事項が多い。
回答を見る
正解: A
質問 #152
エンドユーザーが開発したアプリケーションを効果的に管理する上で、最も重要なものはどれですか?
A. ベストプラクティスのフォルダ構造の導入
B. 問題の迅速なエスカレーションを促進するための継続的なモニタリング
C. 確率と影響に基づくリスク評価の割り当て
D. データの異常値を使用したアプリケーションのストレステスト
回答を見る
正解: D
質問 #153
ある基幹業務部門が、現在のセキュリティ基準を満たしておらず、企業ネットワークを脅かしている効果的なレガシーシステムに依存している。このような状況に対処するための最善策はどれか。
A. 基準を満たす新しいシステムの導入を義務付ける。
B. リスク登録簿に不備を文書化する。
C. 欠陥を補うプロセスを開発する。
D. レガシーシステムを他のネットワークから切り離す。
回答を見る
正解: A
質問 #154
IS監査人が中間監査報告書を発行する主な理由はどれか。
A. 最終監査報告書の発行を避けるために
B. 監査人が適時に業務を完了できるようにすること。
C. タイムリーな是正のために受審者にフィードバックを提供する。
D. 監査中にフォローアップの機会を提供する
回答を見る
正解: B
質問 #155
プロジェクトの実現可能性を判断する上で、最も重要なものはどれか?
A. 組織の主な競合他社が同様のプロジェクトを開始した。
B. IT運営委員会がプロジェクトを承認する。
C. プロジェクト管理手法を確立する。
D. プロジェクトの価値は、承認されたビジネスケースで確立されている。
回答を見る
正解: D
質問 #156
あるIS監査人が、ある組織のサーバインフラストラクチャを仮想化する投資案のビジネスケースをレビューした。プロジェクト提案に含まれる利点の中で、最も可能性が高いものはどれか。
A. 少ないOSライセンス
B. 論理リソースの効率向上 C
C. D
回答を見る
正解: D
質問 #157
個人所有のモバイルデバイスを企業の電子メールシステムに接続する場合、最も効果的なデータ損失対策はどれか。
A. 各新規接続は、シニアマネージャーが承認しなければならない。
B. 公共のWi-Fiホットスポットに接続しているときは、電子メールの同期を防止する必要があります。
C. 電子メールは、モバイルデバイス上に暗号化された形式で保存されなければならない。D
回答を見る
正解: A
質問 #158
インターネット・セキュリティの見直しにより、ユーザーがインターネット・サービス・プロバイダー(ISP)に個別のユーザー・アカウントを持っており、これらのアカウントをビジネス・データのダウンロードに使用していることが明らかになった。組織は、企業ネットワークのみが使用されるようにしたい。この組織は、次のことを行うべきである:
A. プロキシサーバーを使用して、アクセスすべきでないインターネットサイトをフィルタリングする。
B. 内部アクセスのログを手動で記録する。
C. リモートアクセス活動を監視する。
D. セキュリティ・ポリシーの中に、インターネット利用に関する記述を入れる。
回答を見る
正解: C
質問 #159
大規模なビジネスアプリケーションの開発の複雑さを見積もるために使用する方法として、最も適切なものはどれか。
A. ファンクションポイント分析
B. ソフトウェアコストの見積もり
C. 作業分解構造
D. クリティカルパス分析 A ある組織が、ユーザーが個人所有のデバイスを企業ネットワークに接続できるようにすることを検討しています。次のうち、最初に行うべきことはどれですか?
E.
A. モバイルデバイス管理ソリューションでユーザーを設定する。
F. B
G. C
D. セキュリティ意識向上トレーニングを実施する。
回答を見る
正解: A
質問 #160
データベース管理者(DBA)が、監査人のためにテスト証拠としてユーザリストを抽出します。ユーザリストが信頼できることを最も保証するのは次のうちどれですか。
A. ユーザー数を返すクエリを要求する。
B. ユーザ・リストを生成したクエリのコピーを要求する
C. リストが完全であることを証明するDBAからのサインオフの取得
D. DBAが直接クエリを実行するのを目撃する
回答を見る
正解: C
質問 #161
統計的サンプリングは、次のどの監査サンプル技法に基づいていないか?
A. 行き当たりばったりのサンプリング B
B. C
C. D
回答を見る
正解: A
質問 #162
次のうち、重要なアプリケーション・サービスにネットワーク帯域幅の継続的な可用性を提供するBESTはどれですか?
A. コンフィギュレーション管理
B. クラウド・コンピューティング
C. 問題管理
D. サービス品質(QoS)
回答を見る
正解: C
質問 #163
クラウドプロバイダーのクライアントデータのバックアップの保存期間を評価する際に、最も重要なのは次のうちどれですか?
A. データ保存のコスト
B. 契約上のコミットメント
C. 過去の監査勧告
D. 業界のベストプラクティス
回答を見る
正解: A
質問 #164
IS監査人がある組織の情報システムのレビューを行っており、ビジネスアプリケーションで不要になったデータを発見した。IS監査人が推奨する最善の方法はどれか。
A. ビジネスユーザーの確認後、データ管理者に削除を依頼する。
B. 保持ポリシーに従ってデータを評価する。
C. データをリムーバブルメディアにバックアップし、安全な場所に保管する。
D. データを保持し、データ分類ポリシーを使用して保護する。
回答を見る
正解: B
質問 #165
予防的統制が検出的統制と是正的統制に置き換わったことを知ったとき、IS監査人がとるべき行動として最も適切なものはどれか。
A. リスクレベルが高まったので、問題を経営陣に報告する。
B. 他の管理に加えて、予防的管理の実施を推奨する。
C. 改訂された統制が、関連する業務プロセスの効率を高めていることを検証する。
D. 新たな管理策が許容可能なレベルでリスクを管理しているかどうかを評価する。
回答を見る
正解: A
質問 #166
以下のIS監査に関する推奨事項のうち、監査中に特定された統制の弱点に対して適切な緩和が行われるようにするために最も役立つものはどれか。責任者に行動を割り当て、フォローアップを行う。
A. B
B. C
C. D
回答を見る
正解: B
質問 #167
組織内の情報セキュリティガバナンスを評価する際、IS監査人が最も関心を持つべき所見はどれか。
A. データセンター管理者が、セキュリティプロジェクトの最終承認を行う。
B. 情報セキュリティ監督委員会は、四半期ごとに会合を開く。
C. 情報セキュリティ部門は欠員補充に苦労している。
D. 情報セキュリティポリシーの最終更新は2年前です。
回答を見る
正解: B
質問 #168
IS監査によって、ある組織が既知の脆弱性に積極的に対処していないことが明らかになった。IS監査人は、次のうちどれを最初に行うよう組織に推奨すべきか?
A. 災害復旧計画(DRP)がテストされていることを確認する。
B. 侵入防御システム(IPS)が有効であることを確認する。
C. インシデント対応チームが問題を理解していることを確認する。
D. ビジネスに対するセキュリティリスクを評価する。IS監査の一環として、監査人は以下に列挙する慣行を指摘する。次のうち、職務分離に関する懸念事項はどれか。
E.
A. オペレーターが夜勤中に磁気テープのデガウスを行っている。
F. B
G. C
D. オペレーターが交代でテープライブラリアンを務めている。
回答を見る
正解: B
質問 #169
ある新興企業が受注システム用のサーバーを導入する際、取引量を予測することができない。同社が検討すべき最も重要なものはどれか。
A. スケーラビリティ
B. 構成
C. 最適化
D. 互換性
回答を見る
正解: B
質問 #170
ネットワークの脆弱性評価で、前回の評価以降、重要なパッチが適用されていないことが確認された場合、IS監査人は管理者にどのような勧告をするのがベストですか?
A. 適切なパッチをテストし、適用するプロセスを導入する。
B. 利用可能なパッチを適用し、定期的な監視を継続する。
C. 利用可能なパッチを自動的に適用するようにサーバーを構成する。
D. パッチが適用されていないデバイスをネットワークから削除する。
回答を見る
正解: A
質問 #171
従業員が会社から支給されたデバイスにライセンスされていないソフトウェアがインストールされるのを防ぐために、IS監査人が推奨すべき最善の方法は次のうちどれでしょうか。
A. ソフトウェアのインストール作業の監査ロギングを実施する。
B. ソフトウェアのインストール権限を管理ユーザーのみに制限する。
C. ソフトウェアのブラックリストを導入する。
D. エンドユーザーデバイスからライセンスされていないソフトウェアを削除する。
回答を見る
正解: A
質問 #172
ある組織が、退職するスタッフから回収した会社支給のスマートフォンを再利用したいと考えています。次のうち、最も推奨されるのはどれでしょうか?
A. スマートフォンのメモリーカードを交換する必要があります。
B. スマートフォンは再利用せず、物理的に破棄すべきである。
C. データはスマートフォンから安全に削除すべきである。
D. SIMカードと電話番号を変更する必要があります。
回答を見る
正解: C
質問 #173
経営陣は、監査指摘事項の残存リスクを受け入れ、勧告された措置を取らないことを決定した。内部監査チームは、この受け入れは不適切であると考え、経営幹部と協議した。この議論の後、決定に関してまだ意見の相違がある。内部監査がとるべき行動として、最も適切なものはどれか。
A. 経営陣に通知することなく、この問題を監査委員会に報告する。
B. 経営者が残存リスクを受け入れ、それ以上の措置を講じないことを監査報告書に文書化する。
C. 経営幹部との合同会議で監査委員会に問題を報告し、解決を図る。
D. 経営幹部との再会合を予定し、推奨された行動をとるよう説得する。
回答を見る
正解: D
質問 #174
次のうちどれを伝えることが、報告書の所見受領後、経営陣が適切な行動を開始する上で最も効果的か?A. 観察結果のリスクへの影響
A. B
B. C
C. D
回答を見る
正解: C
質問 #175
エンドユーザーコンピューティングのアウトプットの正確性と完全性を保証するために、最も重要なことは、強力な調整を含めることである:A. 照合管理。
A. B
B. C
C. D
回答を見る
正解: A
質問 #176
ITサービス・プロバイダーが組織の情報セキュリティ要件に確実に準拠するために、最も役立つのはどれか。
A. ITサービス・プロバイダーとの事業復旧計画の策定
B. ITサービスプロバイダの外部セキュリティ監査の要求
C. 社内ITとの情報セキュリティ要件の定義
D. ITサービス・プロバイダーからの定期的な報告の要求
回答を見る
正解: D
質問 #177
デジタル・フォレンジック調査のあらゆる側面を文書化する最も重要な理由は、その文書化である:
A. 第三者による独立した調査のためのトレーサビリティを提供する。
B. 企業のインシデント対応ポリシーの遵守を保証する。
C. 将来の調査でも再現可能なプロセスであることを保証する。
D. IT監査文書化基準を満たしている。
回答を見る
正解: B
質問 #178
大規模データセンターのコンピュータ操作手順に含まれる可能性が最も高いのはどれか。
A. ジョブスケジューリングの指示
B. ソースコードの再シーケンス手順
C. ユーティリティ設定の手順
D. セキュリティパラメータの設定に関するガイダンス
回答を見る
正解: B

送信後に回答を表示する

質問の回答を得るには、電子メールと WhatsApp を送信してください。

注: 正しい試験結果を得ることができるように、電子メール ID と WhatsApp が有効であることを確認してください。

Eメール:
WhatsApp/電話番号:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.