すべての情報を見逃したくないですか?

認定試験に合格するためのヒント

最新の試験ニュースと割引情報

当社の専門家による厳選最新情報

はい、ニュースを送ってください

効率的な試験準備のための最新のISACA CISA試験問題集

公認情報システム監査人®(CISA®)は、組織のITおよびビジネス・システムの監査、統制、監視、評価を行う者の達成基準として世界的に有名です。中堅のプロフェッショナルであれば、CISAを取得することで、専門知識をアピールし、監査業務の計画、実施、報告にリスクベースのアプローチを適用する能力を主張することができます。 SPOTO ISACA CISA問題集は資格を成功させるために多くの利点があります。SPOTOのCISA試験問題集は精確に実際試験の範囲を絞ります。SPOTOの提供する試験準備教材は受験生の皆さんが重要な概念の理解と習得を強化することを目的としています。SPOTOの学習教材と試験参考書を利用すれば、効率的にCISA試験の準備を進めることができ、合格することができます。さらに、SPOTOは実際の試験状況をシミュレートする模擬試験を提供しており、自分の準備態勢を評価し、合格に向けてパフォーマンスを向上させることができます。
他のオンライン試験を受ける
質問 #1
ある会社はIT職務分離ポリシーを導入した。役割ベースの環境では、次のどの役割がアプリケーション開発者に割り当てられますか?
A. ITオペレーター
B. システム管理
C. 緊急支援
D. データベース管理
回答を見る
正解: B
質問 #2
あるクレジットカード会社が、顧客の利用明細書の印刷をアウトソーシングすることになった:
A. プロバイダーには代替のサービス拠点がある。
B. 契約には、サービスレベルの欠陥に対する補償が含まれている。
C. プロバイダーの情報セキュリティー管理体制が、企業のそれと整合している。
D. プロバイダーは会社のデータ保持ポリシーを遵守している。
回答を見る
正解: C
質問 #3
IS監査人は、取引の母集団全体に対してデータ分析を実施することによって、買掛金統制をテストする予定です。母集団データを入手する際に、監査人が確認することが最も重要なものはどれですか?
A. データはシステムから直接取得している。
B. データにはプライバシー情報はありません。
C. データをタイムリーに入手できる。
D. データ分析ツールは最近更新された。
回答を見る
正解: A
質問 #4
ネットワーク監査を計画する際、最も重要なものはどれか。
A. 使用IP範囲の決定
B. トラフィック内容の分析
C. 不正アクセスポイントの隔離
D. 既存のノードの特定
回答を見る
正解: D
質問 #5
ある監査で、事業部門がIPのサポートを受けずにクラウドベースのアプリケーションを購入していることが判明しました。この状況に関連する最も大きなリスクは何ですか?
A. 事業継続計画(BCF)に含まれないアプリケーション
B. アプリケーションは合理的にデータを保護できない可能性がある。
C. 申請購入は調達方針に従わなかった。
D. アプリケーションは事前の通知なしに変更される可能性がある。
回答を見る
正解: B
質問 #6
IT戦略が組織の目標や目的と一致していることを示すものとして、最も適切なものはどれか。
A. IT戦略をすべてのビジネス利害関係者に伝える
B. 組織戦略は最高情報責任者(CIO)に伝えられる。
C. ビジネス利害関係者はIT戦略の承認に関与する。
D. 最高情報責任者(CIO)は、組織戦略の承認に関与する。
回答を見る
正解: C
質問 #7
次のうち、ローン組成プロセスにおけるデータ分析の利用を示しているものはどれですか?
A. ローン記録がバッチファイルに含まれ、サービシング・システムによって検証されているかどう かを評価する。
B. オリジネーション・システムに入力されたローンの母集団と、サービシング・システムに記 録されたローンを比較する。
C. 2つのシステム間の照合が実行され、不一致が調査されているかどうかを検証する。
D. 伝送障害が発生した場合に適切な担当者に通知するためのエラー処理管理の見直し
回答を見る
正解: B
質問 #8
ITガバナンスを効果的に実施するために最も重要なものはどれか。
A. 強力なリスク管理手法
B. 内部監査人のコミットメント
C. 協力的な企業文化
D. 文書化された方針
回答を見る
正解: C
質問 #9
業務アプリケーションシステムに保存されている機密情報の不正な取得を防止するために、最も適切なものはどれか。
A. アクセス制御にシングルサインオンを適用する
B. 職務の分離を実施する。
C. 内部データアクセスポリシーを実施する。
D. デジタル署名の使用を強制する。
回答を見る
正解: C
質問 #10
フォローアップ監査のスケジュールを立てる際に考慮すべき最も重要なものはどれか。
A. 新しい監査人との独立検証に必要な努力
B. 是正措置が取られなかった場合の影響
C. 受審者が監査人と過ごすことに同意した時間
D. オブザベーションに関するコントロールと検出リスク
回答を見る
正解: B
質問 #11
主要業績評価指標(KPI)を導入する前に、最初に実施すべきことはどれか。
A. 業界ベンチマークの分析
B. 組織目標の特定
C. 定量的便益の分析
D. バランススコアカードの導入
回答を見る
正解: B
質問 #12
あるIS監査人が、現在も常用されているソフトウェアシステムが何年も前のものであり、もはやサポートされていないことを発見した。被監査者は、そのソフトウェアが現行バージョンで稼働するまで6カ月かかると述べている。
A. ソフトウェアシステムの古いバージョンにすべてのパッチが適用されていることを確認する。
B. 古くなったソフトウェアシステムの未使用のポートをすべて閉じる。
C. 旧式のソフトウェアシステムをメインネットワークから分離する。
D. 古いソフトウェアシステムに到達しようとするネットワークトラフィックを監視する。
回答を見る
正解: D
質問 #13
オンラインアプリケーションにおいて、トランザクションの監査証跡に関する最も多くの情報を提供するのはどれか?
A. ファイルレイアウト
B. データアーキテクチャ
C. システム/プロセス・フローチャート
D. ソースコード・ドキュメント
回答を見る
正解: C
質問 #14
最近、グローバル組織のある国の新しい規制が、個人情報の国境を越えた移転を禁止した。
A. あるIS監査人は、その組織の被災国におけるエクスポージャーのレベルを判断するよう依頼された。
B. 影響を受ける司法管轄区と個人データを交換するすべての事業体の目録を作成する。
C. 影響を受ける管轄区域におけるデータセキュリティの脅威を特定する。
D. 影響を受ける管轄区域に関連するデータ分類手順のレビュー
E. 影響を受ける法域との個人データ交換に関連するビジネスプロセスの特定
回答を見る
正解: D
質問 #15
IS監査人が最近のセキュリティインシデントを追跡調査し、インシデント対応が適切でなかったことを発見した。
A. 攻撃を容易にするセキュリティ上の弱点は特定されなかった。
B. 侵入検知システム(IDS)によって攻撃が自動的にブロックされなかった。
C. 攻撃は発信者を突き止めることができなかった。
D. 適切な対応文書が整備されていなかった。
回答を見る
正解: A
質問 #16
災害復旧監査中に、IS監査人はビジネスインパクト分析(BIA)が実施されていないことを発見する。監査人は、まず次のことを行うべきである。
A. ビジネスインパクト分析(BIA)を実施する。
B. 経営陣に中間報告を出す。
C. 現在の災害復旧能力への影響を評価する。
D. 追加のコンプライアンス・テストを実施する。
回答を見る
正解: C
質問 #17
ITとビジネス戦略との整合性を監査する際、IS監査人にとって最も重要なことは、以下のことである:
A. 組織の戦略計画を業界のベストプラクティスと比較する。
B. シニア・マネジャーにIT部門についての意見を聞く。
C. 新しいITプロジェクトを監視するために、IT運営委員会が任命されるようにする。
D. 新しいITイニシアチブの成果物を、計画されたビジネスサービスに照らして評価する。
回答を見る
正解: D
質問 #18
組織のインシデントマネジメントプロセスの設計を評価するIS監査人にとって、最も懸念すべきことはどれか?
A. サービス管理基準が守られていない。
B. インシデントの解決に期待される時間は特定されていない。
C. 指標は上級管理職には報告されない。
D. 優先順位付けの基準が定義されていない。
回答を見る
正解: B
質問 #19
実施されたデータ分類プログラムの有効性に関する監査人の結論を裏付けるのに最も役立つのはどれか。
A. 情報管理ツールの購入
B. ビジネスユースケースとシナリオ
C. スキームに従って提供されるアクセス権
D. 詳細なデータ分類スキーム
回答を見る
正解: D
質問 #20
次のファイアウォールのうち、ハッカーの侵入を最も防ぐことができるのはどれですか?
A. サーキットゲートウェイ
B. アプリケーションレベルのゲートウェイ
C. パケット・フィルタリング・ルーター
D. スクリーニング・ルーター
回答を見る
正解: B
質問 #21
監査リスクを説明するのに最も適切なものはどれか。
A. 会社は冤罪で訴えられている。
B. 財務報告書には、未検出の重大な誤りが含まれている可能性がある。
C. 従業員が資金を不正に流用していた。
D. 主要従業員は2年間休暇を取っていない。
回答を見る
正解: D
質問 #22
IS監査人は、ネットワークの脆弱性評価において、次のうちどれを期待すべきか?
A. 設定ミスと更新漏れ
B. 悪意のあるソフトウェアとスパイウェア
C. ゼロデイ脆弱性
D. セキュリティ設計の欠陥
回答を見る
正解: A
質問 #23
ITガバナンスのレビューから得られた知見のうち、最も懸念すべきものはどれか?
A. IT予算は監視されていない
B. すべてのITサービスは第三者によって提供される。
C. IT価値分析が完了していない。
D. IT部門は2つの異なるオペレーティングシステムをサポートしています。
回答を見る
正解: C
質問 #24
データ保持ポリシーを導入する理由として、最も適切なものはどれか。
A. 情報の保管と保護に関連する責任を制限するため
B. 組織内のデータ処理に関するビジネス目標を文書化する。
C. データ保護に対する責任と所有権を IT 部門の外部に割り当てる。
D. トースター復旧手順)に対する復旧ポイント検出(RPO)を確立するには
回答を見る
正解: A
質問 #25
あるIS監査人が、数人の従業員が個人的な理由でソーシャルメディアサイトの利用に過剰な時間を費やしていることに気づいた。
A. ソーシャルネットワーキングサイトへの投稿を積極的に監視するプロセスを導入する。
B. ソーシャルメディア利用を含むようにネットワーク利用予算を調整する。
C. エンドポイントでデータ損失防止(DLP)ツールを使用する。
D. 就業時間中に許容されるソーシャルメディアの使用に関するポリシーを導入する。
回答を見る
正解: D
質問 #26
第三者が関与する共同開発活動において、組織の専有コードを保護する最善のものはどれか?
A. 作業明細書(SOW)
B. 秘密保持契約(NDA)
C. サービスレベル合意(SLA)
D. プライバシー規約
回答を見る
正解: D
質問 #27
2社間の相互災害復旧協定の監査において、IS監査人が最も関心を持つのは以下の点である:
A. 緊急時の資源配分。
B. システムテストの頻度
C. ISの方針と手順の違い。
D. ハードウェアとソフトウェアの互換性の維持。
回答を見る
正解: D
質問 #28
あるIS監査人が、インターネットに面した重要なシステムが攻撃に対して脆弱であり、パッチが利用できないことを発見した。
A. パッチを当てることができる新しいシステムを導入する。
B. システムを保護するためにファイアウォールを追加する。
C. サーバーを廃止する。
D. 関連するリスクを評価する。
回答を見る
正解: D
質問 #29
アプリケーション開発の受け入れテストに関して、最も重要なものはどれか。
A. プログラミング・チームはテスト・プロセスに関与する。
B. すべてのデータファイルは、変換前に有効な情報かどうかテストされます。
C. テストを開始する前に、ユーザー管理者がテスト設計を承認する。
D. 品質保証(QA)チームがテストプロセスを担当している。
回答を見る
正解: B
質問 #30
ファイアウォールが組織のセキュリティポリシーに準拠して構成されているかどうかを判断するための監査手順として、最も適切なものはどれか。
A. パラメータ設定の見直し
B. システムログの確認
C. ファイアウォール管理者へのインタビュー
D. 実際の手続きの見直し
回答を見る
正解: D
質問 #31
ネットワークサービスのサービスレベル合意書(SLA)を作成する際の課題は、次のうちどれですか?
A. ネットワークサービスのフレームワークを確立する。
B. 適切に測定できるパフォーマンス指標を見つける
C. ネットワークコンポーネントがクライアントによって変更されないようにする。
D. ネットワークへのエントリーポイントを減らす
回答を見る
正解: B
質問 #32
次の消火システムのうち、作動時に電力供給を遮断する自動スイッチと組み合わせる必要があるのはどれか。
A. 二酸化炭素
B. FM-200
C. 乾式パイプ
D. ハロン
回答を見る
正解: C
質問 #33
次のセキュリティ対策のうち、サイバー攻撃発生時の伝播リスクを低減できるものはどれか。
A. 境界ファイアウォール
B. データ損失防止(DLP)システム
C. ウェブアプリケーションファイアウォール
D. ネットワークセグメンテーション
回答を見る
正解: D
質問 #34
マルウェアによるデータ漏洩が発生しました。次のうち、最初に取るべき行動はどれですか?
A. サイバー保険会社に通知する。
B. 影響を受けるシステムをシャットダウンする。
C. 影響を受けたシステムを隔離する。
D. 違反について顧客に通知する。
回答を見る
正解: C
質問 #35
次のうちどれが、IS監査人に、デジタル・フォレンジック調査中に収集された証拠は法廷では認められないと結論付けさせるか?
A. 証拠を収集した人物は、訴訟を代理する資格がありません。
B. ログは証拠を扱った人物を特定できなかった。
C. 証拠は社内の鑑識チームによって収集された。
D. 裁判の前に、クラウドベースのソリューションを使って証拠を完全にバックアップしていなかった。
回答を見る
正解: B
質問 #36
IS 監査人は、アプリケーションの監査証跡を確認する必要があります:
A. 十分なセキュリティがある。
B. データベースの全記録を記録する。
C. オンラインでアクセス可能
D. 経営効率に影響を与えない
回答を見る
正解: D
質問 #37
組織の情報分類プロセスにおけるIS監査人の主な役割はどれか。
A. 割り当てられた分類に従って情報資産を保護する。
B. 資産が割り当てられた分類に従って保護されていることの検証
C. 規制ガイドラインに沿った分類レベルの確保
D. 組織内の情報資産の分類レベルの定義
回答を見る
正解: B
質問 #38
ITシステムの復旧時にビジネス機能の運用を維持するためのワークアラウンドプロセスの文書化は、ITシステムの中核をなす部分である:
A. ビジネスインパクト分析(BIA)。
B. 脅威とリスクの評価
C. 事業継続計画(BCP)。
D. 災害復旧計画(DRP)。
回答を見る
正解: C
質問 #39
最近発見されたゼロデイ攻撃の影響を管理するための最初のステップはどれですか?
A. 潜在的損害の推定
B. 脆弱な資産の特定
C. 攻撃の可能性の評価
D. 脆弱性の影響の評価
回答を見る
正解: B
質問 #40
IS監査人が、ある組織のプライマリルータのアクセス制御リストをレビューしている。
A. ITグループの許可ルールと拒否ルールが矛盾しています。
B. ネットワークセキュリティグループは、ネットワークアドレス変換(NAT)を変更することができます。
C. 個人のパーミッションがグループのパーミッションより優先されます。
D. アクセス権を持つグループごとにルールは1つしかありません。
回答を見る
正解: C
質問 #41
リスク・エクスポージャーのタイムリーな特定を可能にする最良のものはどれか。
A. 外部監査レビュー
B. 内部監査レビュー
C. 統制自己評価(CSA)
D. ストレステスト
回答を見る
正解: C
質問 #42
監査指摘事項を是正するための合意されたマネジメント対応に対するフォローアップ活動を計画する際に、IS監査人が最も考慮すべきことはどれか。
A. 修復による事業の中断
B. IT予算の制約
C. IT担当者の確保
D. 原所見のリスク評価
回答を見る
正解: D
質問 #43
IS監査で合意されたアクションプランが確実に実施されるようにするための、組織にとって最も効果的な方法はどれか。
A. 十分な監査資源が割り当てられていることを確認する、
B. 監査結果を組織全体に伝達する。
C. 所有権の割り当てを確実にする。
D. 完了後、是正処置をテストする。
回答を見る
正解: C
質問 #44
アプリケーションが仕様どおりに動作していることを確認する最も良い方法は、次のうちどれでしょうか?
A. 単体テスト
B. パイロットテスト
C. システムテスト
D. 統合テスト
回答を見る
正解: D
質問 #45
電子商取引アプリケーションシステムの編集ルーチンの有効性を評価する上で、最も決定的な監査手続きはどれか。
A. プログラム文書のレビュー
B. 試験取引の利用
C. 知識豊富なユーザーへのインタビュー
D. ソースコードのレビュー
回答を見る
正解: B
質問 #46
IS監査人が各業務で考慮しなければならない最も重要なリスクはどれか。
A. プロセスと資源の非効率性
B. 不正および違法行為
C. 組織方針の不遵守
D. 事業目標との不整合
回答を見る
正解: D
質問 #47
2つの組織の合併後、IS監査人が行うべき最も重要な仕事はどれか?
A. アクセス権限がレビューされたことの確認
B. アクセス権の有効期限を調査する
C. 重要資源の継続計画の更新
D. セキュリティポリシーの更新
回答を見る
正解: A
質問 #48
コンプライアンス監査の計画段階で、IS監査人は銀行のコンプライアンス要件目録にデータリスク管理に関連する最近の規制変更が含まれていないことを発見した。
A. なぜ規制の変更が盛り込まれなかったのか、経営陣に尋ねる。
B. 潜在的な規制問題について法務部門と話し合う。
C. C
D. 最近の規制の変更を監査範囲から除外する。
回答を見る
正解: A
質問 #49
次のバックアップ方式のうち、記憶媒体が限られている場合の最良の選択肢はどれですか?
A. リアルタイム・バックアップ
B. 仮想バックアップ
C. 差分バックアップ
D. フルバックアップ
回答を見る
正解: C
質問 #50
多くのデスクトップPCを持つ組織が、シンクライアントアーキテクチャへの移行を検討している。
A. デスクトップPCのセキュリティが強化される。
B. クライアントに管理セキュリティを提供できる。
C. デスクトップ・アプリケーション・ソフトウェアをアップグレードする必要はない。
D. システム管理をより良く管理できる
回答を見る
正解: C
質問 #51
IS監査人がファイアウォールルールを評価する際、最初に考慮すべきはどれか。
A. 組織のセキュリティ方針
B. リモートノードの数
C. ファイアウォールのデフォルト設定
D. ファイアウォールの物理的な位置
回答を見る
正解: A
質問 #52
ITオペレーションのレビューを行うIS監査人が最も懸念すべき調査結果はどれか。
A. ジョブスケジューラアプリケーションは、ポップアップエラーメッセージを表示するようには設計されていません。
B. ジョブスケジューラアプリケーションへのアクセスが、最大2名のスタッフに制限されていない。
C. 業務シフトの交代ログが、処理環境の調整と管理に活用されていない。
D. ジョブスケジューラアプリケーションのパラメータに対する変更が、業務監督者によって承認およびレビューされていない。
回答を見る
正解: D
質問 #53
最近導入されたBYOD(Bring Your Own Device)戦略に関連するセキュリティリスクに対処するために、組織が最も効果的なのはどれか。
A. モバイル機器追跡プログラム
B. モバイル機器アップグレードプログラム
C. モバイル機器テストプログラム
D. モバイル機器啓発プログラム
回答を見る
正解: D
質問 #54
リスクベースのIS監査プログラムを策定する際、IS監査人が最も重視すべきはどれか。
A. ポートフォリオ管理
B. 事業計画
C. ビジネスプロセス
D. IT戦略計画
回答を見る
正解: D
質問 #55
ある組織が、ネットワークやセキュリティインフラストラクチャに他の変更を加えることなく、サーバ環境を仮想化した。
A. ネットワーク侵入検知システム(IDS)による仮想サーバー間通信の監視ができない。
B. 複数のホストに影響を及ぼす仮想化プラットフォームの脆弱性
C. データセンターの環境管理が新しい構成に合っていない。
D. 環境の変化を反映するためにシステム文書が更新されていない
回答を見る
正解: B
質問 #56
あるIS監査担当者が、IT部門とビジネス管理部門が実施した直近のアプリケーションユーザーアクセスレビューに関する文書を評価している。 ユーザーリストはシステムで作成されたものではないと判断された。
A. ユーザーリストのレビューの可否
B. レビューされたユーザーリストの機密性
C. ユーザーリストのレビュー元
D. レビューされたユーザーリストの完全性
回答を見る
正解: C
質問 #57
ある小さな組織のデータ分類プロセスと手順を監査していたとき、IS監査員はデータがしばしば誤ったレベルで分類されていることに気づいた。
A. 内容に基づいて文書を自動分類する。
B. IT セキュリティ担当者に、データ所有者を対象としたトレーニングを実施させる。
C. データ分類ポリシーを企業ウェブポータルで公開する。
D. 情報分類ポリシーの啓蒙のためのプレゼンテーションやセミナーを実施する。
回答を見る
正解: D
質問 #58
IS監査人が組織のプライバシーポリシーの妥当性を評価するための基準として使用する情報源として、最も適切なものはどれか。
A. プライバシー侵害の歴史とその根本原因
B. 世界的に受け入れられているプライバシーのベストプラクティス
C. 地域のプライバシー基準および規制
D. 類似組織のベンチマーク研究
回答を見る
正解: C
質問 #59
あるIS監査人が、ある従業員が機密データに不正アクセスしていることを発見した。
A. IS監査人の最善の推奨は、以下のとおりである:
B. データをより低い機密レベルに再分類する。
C. 事業主に対し、定期的なアクセスの見直しを要求する。
D. ユーザーに強力なパスワードスキーマを実装する。
E. セキュリティ管理者がとるべき是正措置を勧告する。
回答を見る
正解: B
質問 #60
コンピュータのパフォーマンスを分析する場合、次のうちどれが最も役に立つだろうか?
A. リソース使用を最適化するためのシステムソフトウェアのチューニング
B. レスポンスタイムに対するユーザーの不満に関する業務報告
C. 稼働率を測定する統計的指標
D. オフピークの利用率と応答時間の報告
回答を見る
正解: B
質問 #61
開発チームによって、誤ったバージョンのソースコードが修正された。これは、以下の弱点を示している可能性が高い:
A. インシデント管理。
B. 品質保証(QA)。
C. 変更管理。
D. プロジェクト・マネジメントの博士号取得者。
回答を見る
正解: C
質問 #62
エンドユーザーコンピューティング(EUC)における複雑な計算の意図しない修正に関連するリスクを軽減する最も良い方法はどれか。
A. 独立した第三者にソース計算をレビューしてもらう。
B. 安全なライブラリからEUCプログラムのコピーを実行する。
C. 複雑なパスワード管理を導入する
D. 手計算によるEUC結果の検証
回答を見る
正解: B
質問 #63
ITの意思決定における投資利益率(ROI)アナリストの利点の1つは、それが提供することである:
A. 間接費の配賦基準。
B. 機器の交換費用。
C. 推定所有コスト。
D. 財源配分の根拠。
回答を見る
正解: D
質問 #64
多国籍銀行の廃棄プロセスの監査中に、IS監査人がいくつかの発見を指摘した。
A. バックアップメディアは廃棄前に確認されない。
B. 物理的シュレッダーの代わりにデガウスが使用される。
C. バックアップメディアは、保管期間が終了する前に廃棄される。
D. ハードウェアは認定ベンダーによって破壊されない。
回答を見る
正解: C
質問 #65
アジャイル開発されたソフトウエアのインクリメンタルな変更の一環として、潜在的なセキュリ ティ問題を開発チームが確実に考慮できるようにするために最も役立つのはどれか。
A. セキュリティリスク分析を、プロジェクト管理室の特別な訓練を受けたメンバに割り当てる。
B. 管理された環境で変更を展開し、セキュリティ上の欠陥がないか観察する。
C. 変更を加える際に、セキュリティへの影響を分析するための必須ステップを含める。
D. 変更分析を標準的な形式で文書化することを義務付ける。
回答を見る
正解: C
質問 #66
ITバランススコアカードは、モニタリングの最も効果的な手段である:
A. 企業ITのガバナンス
B. コントロールの有効性
C. 投資収益率(ROI)。
D. チェンジ・マネジメントの有効性
回答を見る
正解: A
質問 #67
仮想サーバファームの監査を行う際、ソフトウェアの潜在的な脆弱性に対して、IS監査人が最も大きなリスクを考慮するのは、次のうちどの観察事項ですか?
A. ゲストOSは毎月更新
B. ハイパーバイザーは四半期ごとに更新されます。
C. さまざまなゲストOSが1つの仮想サーバー上で動作する
D. ウイルス対策ソフトがゲストOSにのみ実装されている。
回答を見る
正解: D
質問 #68
IT監査組織内の役割と責任を規定すべき文書はどれか。
A. 組織図
B. 監査チャリア
C. エンゲージメント・レター
D. 年間監査計画
回答を見る
正解: A
質問 #69
アプリケーションが仕様どおりに動作していることを確認する最も良い方法は、次のうちどれでしょうか?
A. パイロットテスト
B. システムテスト
C. 統合テスト
D. 単体テスト
回答を見る
正解: C
質問 #70
ネットワーク監視に関連する統制の設計を評価するとき、IS監査人がレビューすべき最も重要なものはどれか。
A. インシデント・モニタリング
B. ISPのサービスレベル契約
C. ネットワーク・トラフィック解析の報告
D. ネットワーク・トポロジー図
回答を見る
正解: D
質問 #71
情報漏えいが疑われる場合のインシデント対応プロセスで、最初に行うべきことはどれですか?
A. 影響を受ける可能性のある顧客にセキュリティ侵害を知らせる
B. セキュリティ侵害を経営陣に通知する。
C. 警告された侵害の妥当性を調査する
D. 第三者機関に依頼して、警告された違反を独自に評価させる。
回答を見る
正解: C
質問 #72
財務アプリケーションの監査中に、多くの終了したユーザーのアカウントが無効化されていないことが判明した。
A. 終了したユーザのアクセス権の実体テストを実施する。
B. 解約されたユーザーのアカウント活動のレビューを実行する。
C. アプリケーションオーナーにリスクを伝える。
D. IT全般統制は効果がないと結論づける。
回答を見る
正解: B
質問 #73
次のうち、証拠に関する監査レビュアーの主な役割はどれか?
A. 無許可の個人が、捕獲後に証拠を改ざんしないようにすること。
B. 監査結論を裏付ける十分な証拠の確保
C. 適切な統計的サンプリング方法が使用されたことの確認
D. 証拠が承認された情報源から入手されたものであることを示すラベルが貼られていること。
回答を見る
正解: B
質問 #74
輸送中および廃棄中に情報資産が適切に安全保護されているかどうかを判断する際、最も懸念されるのは次のうちどれでしょうか?
A. 適切な表示の欠如
B. 最近の意識向上トレーニングの欠如。
C. パスワード保護の欠如
D. 適切なデータ分類の欠如
回答を見る
正解: D
質問 #75
現在ある規制では、組織は重大なセキュリティインシデントを発見してから24時間以内に規制当局に報告することが義務付けられている。規制への準拠を促進するために、IS監査人が最も推奨するのはどれか。
A. セキュリティインシデントを適時に特定するための主要業績評価指標(KPls)を確立する。
B. インシデント対応のため、外部のセキュリティインシデント対応の専門家に依頼する。
C. 侵入検知システム(IDS)のアラート機能を強化する。
D. インシデント管理対応計画に要件を含める。
回答を見る
正解: C
質問 #76
組織のIT機能の俊敏性を測るのに最も適している指標は、次のうちどれでしょうか?
A. ITスタッフ1人当たりの平均学習・研修時間数
B. 最新の基準及びガイドラインに照らしたセキュリティ評価の頻度
C. 戦略的IT目標を合意され承認されたイニシアティブに変えるまでの平均時間
D. 各自の役割に求められる能力に対して十分なIT関連スキルを有するスタッフの割合
回答を見る
正解: C
質問 #77
あるIS監査人が、特定のタスクを実行するスタッフの監督を誰が行っているかを判断したいと考えており、組織のRACIチャートを参照している。チャート内の次の役割のうち、この情報を提供するのはどれか?
A. 相談
B. インフォームド
C. 責任
D. 説明責任
回答を見る
正解: D
質問 #78
小規模なIS部門で職務分掌が欠如している場合の代償管理として、最も適切なものはどれか。
A. 身元調査
B. ユーザー意識向上トレーニング
C. トランザクション・ログのレビュー
D. 強制休日
回答を見る
正解: C
質問 #79
侵入テストのどの段階で、ホストの検出とドメインネームシステム(DNS)の問い合わせを行うか。
A. ディスカバリー
B. 攻撃
C. プランニング
D. 報告
回答を見る
正解: A
質問 #80
アプリケーションを維持するために構成管理プロセスに従う主な理由は、次のうちどれですか?
A. システムリソースを最適化する
B. システムハードニングスタンダードに従うこと
C. 資産管理ワークフローを最適化する
D. 適切な変更管理のため
回答を見る
正解: D
質問 #81
IS監査人が、知的財産と特許を担当する事業部門のコラボレーションツールに関するセキュリティ管理をレビューしています。
A. 知的財産や特許を扱う部署への研修が行われていない
B. コンテンツフィルタリングのログと監視が有効になっていない。
C. 社員はコラボレーションツールを使って社外のユーザーとファイルを共有できる。
D. コラボレーションツールはホスティングされており、インターネットブラウザ経由でのみアクセスできます。
回答を見る
正解: B
質問 #82
増分バックアップを使う最大の理由は何ですか?
A. 主要な可用性指標を改善する
B. バックアップに関連するコストを削減する
C. バックアップの回復力と冗長性を高める
D. バックアップ時間とリソースを最小限に抑える
回答を見る
正解: D
質問 #83
ITプロセス・モニタリングの有効性を評価するための情報源として、最も適切なものはどれか。
A. リアルタイム監査ソフトウェア
B. パフォーマンスデータ
C. 品質保証(QA)レビュー
D. 参加型経営手法
回答を見る
正解: A
質問 #84
次年度に実施するIS監査を選択するための主要な基準は何か?
A. 経営陣の要請
B. 過年度の監査指摘事項
C. 組織のリスク評価
D. 過去の監査範囲
回答を見る
正解: C
質問 #85
2人のユーザーが同じデータベースレコードに同時にアクセスする場合、最も大きなリスクは次のうちどれですか?
A. エンティティの完全性
B. 可用性の完全性
C. 参照整合性
D. データの完全性
回答を見る
正解: D
質問 #86
IS監査人が組織の情報セキュリティポリシーが適切かどうかを判断する際に、最も適切な情報源はどれか。
A. 情報セキュリティプログラム計画
B. 侵入テストの結果
C. リスク評価結果
D. 業界ベンチマーク
回答を見る
正解: C
質問 #87
あるシステム開発プロジェクトが、継続的な人員不足のために遅延している。次のうち、実装時のシステム品質を最も保証できる戦略はどれか。
A. すべての開発スタッフに残業手当とボーナスを支給する。
B. 新しいシステム開発ツールを活用し、生産性を向上させる。
C. システム開発を促進するためにISスタッフを採用する。
D. 中核機能のみを当初の目標期日に提供する。
回答を見る
正解: C
質問 #88
ビジネスインパクト分析(BIA)を実施する際に使用するデータは、次のうちどれでしょうか?
A. 現在の事業が将来の事業に与える影響の予測
B. 現事業運営の費用便益分析
C. 規制遵守のコスト
D. 事業回復のために予想される費用
回答を見る
正解: A
質問 #89
データセンター内の物理的な情報資産を保護するための前提条件として、最も重要なものはどれか。
A. 情報資産を発注するスタッフと受け取るスタッフの間の職務分掌
B. 配備された情報資産の完全かつ正確なリスト
C. 現場バックアップ発電機の可用性とテスト
D. データ保護要件に関するITスタッフの知識
回答を見る
正解: B
質問 #90
ある組織が、最近VoIP(Voice-over IP)通信システムを導入した。
A. 音声通信とデータ通信の両方の単一障害点
B. 内部トラフィックにバーチャル・プライベート・ネットワーク(VPN)を使用できない。
C. 音声通信とデータ通信の統合の欠如
D. パケットトスによる音声品質の劣化
回答を見る
正解: A
質問 #91
IS監査人が、フロントエンドのサブ台帳とメイン台帳を調査している。2つのシステム間の勘定科目のマッピングに欠陥がある場合、最も懸念されるのはどれか。
A. 単一仕訳の二重転記
B. 新規取引をサポートできない
C. アカウント属性の不正変更
D. 財務報告の不正確さ
回答を見る
正解: D
質問 #92
外部委託されたプロバイダー・サービスが適切に管理されていることを示す最も良い証拠はどれか。
A. サービスレベル合意(SLA)には、不履行に対する罰則が含まれている。
B. サービスレベル合意(SLA)の不履行に対して適切な措置が取られる。
C. ベンダーは、そのパフォーマンスを実証するために過去のデータを提供する。
D. 社内の業績基準は、企業戦略に沿ったものである。
回答を見る
正解: B
質問 #93
許可されたアクセスの意図しない誤用を軽減するための最も効果的なコントロールはどれか。
A. 受諾可能な使用ポリシーの年次サインオフ
B. ユーザーアクセスログの定期的な監視
C. セキュリティ意識向上トレーニング
D. 正式な懲戒処分
回答を見る
正解: C
質問 #94
支払トランザクションデータが適切なユーザに制限されていることを保証する最も良い方法は、次のうちどれですか。
A. 二要素認証の実装
B. ネットワークセキュリティソフトウェアを使用したトランザクションへのアクセス制限
C. アプリケーション・レベルでロール・ベースのアクセスを実装する。
D. 単一メニューのTor機密アプリケーショントランザクションを使用する
回答を見る
正解: C
質問 #95
プログラマーが本番環境のデータを変更する権限を持っているかどうかを判断する最善の方法は、レビューすることである:
A. アクセス・コントロール・システムのログ設定。
B. 最新のシステム変更がどのように実施されたか。
C. アクセス制御システムの設定。
D. 与えられたアクセス権。
回答を見る
正解: D
質問 #96
あるシステム管理者が最近、組織外からの侵入の試みが何度か失敗したことをIS監査人に報告した。このような侵入を検知するのに最も効果的なのはどれか。
A. ログファイルの定期的な確認
B. ルーターをファイアウォールとして設定する
C. ワンタイムパスワード付きICカードの使用
D. バイオメトリクス認証の導入
回答を見る
正解: A
質問 #97
災害復旧計画(DRP)のテストが成功したかどうかを判断する最も良い方法はどれか。
A. 事前に設定された試験目的が達成されたかどうかを分析する。
B. バックアップデータセンターでテストを実施する。
C. 主要人員の参加を評価する。
D. オフサイトバックアップファイルをテストする。
回答を見る
正解: A
質問 #98
組織の個人情報保護プログラムの確立を支援する上で、内部監査の役割として適切なものはどれか。
A. 新規制がもたらすリスクの分析
B. 個人データ保護のための管理設計
C. プライバシーに関する組織内の役割の定義
D. 個人データの使用を監視する手順の開発
回答を見る
正解: A
質問 #99
IS監査人は、今度の監査範囲において、サポートされていない古い技術を使用している産業用制御システム(ICS)をレビューしている。
A. 産業用制御システムに対する攻撃ベクトルは進化している。
B. システムを悪用されるリスクが高い。
C. 災害復旧計画(DRP)が整備されていない。
D. 技術仕様が文書化されていない。
回答を見る
正解: C
質問 #100
次のセキュリティリスクのうち、適切に設定されたネットワークファイアウォールによって低減できるものはどれか。
A. SQLインジェクション攻撃
B. サービス拒否(DoS)攻撃
C. フィッシング攻撃
D. インサイダー攻撃
回答を見る
正解: B
質問 #101
システム開発プロジェクトの詳細設計フェーズにおいて、IS監査人が判断することが最も重要なのはどれか。
A. プログラム・コーディング標準に従った
B. 受入試験基準を策定
C. データ変換手順が確立された。
D. デザインは上級管理職によって承認されている。
回答を見る
正解: B
質問 #102
ウェブベースの取引を実施する計画がある組織にとって、IS監査人が組織の情報セキュリティ計画に以下が含まれていることを確認することが最も重要であろう:
A. システムパスワードの属性。
B. 実施前のセキュリティトレーニング
C. 新しいアプリケーションのセキュリティ要件
D. ウェブサーバーのファイアウォール設定。
回答を見る
正解: C
質問 #103
IS監査人は、その組織が分散環境でサーバ障害を数回経験していることを知った。今後、サーバ障害の潜在的な影響を抑えるための推奨事項として、最も適切なものはどれか。
A. 冗長経路
B. クラスタリング
C. フェイルオーバー電源
D. パラレルテスト
回答を見る
正解: B
質問 #104
IS監査人が独立性を維持しながら、コントロール・セル・アセスメント(CSA)を促進できる活動はどれか。
A. 改善計画の実施
B. CSAの一部完了
C. 改善計画の策定
D. CSA アンケートの作成
回答を見る
正解: D
質問 #105
買掛金の従業員による電子送金の不正を防止するための推奨事項として、最も適切なものはどれか。
A. 定期的なベンダーレビュー
B. デュアルコントロール
C. 独立和解
D. 金額の再入力
E. インシデント対応のために、外部のセキュ リティインシデント対応の専門家を起用する。
回答を見る
正解: B
質問 #106
経営陣は、従業員が意図的または非意図的に機密情報を添付ファイルとして社外に電子メールで送信することを懸念しています。
A. 全従業員に対し、秘密保持契約(NDA)への署名を義務付ける。
B. エンドユーザーコンピューティング(EUC)の利用ポリシーを策定する。
C. 情報分類スキームを開発する。
D. 電子メール監視の可能性について従業員に通知する。
回答を見る
正解: A
質問 #107
ある組織は最近、報告データに重大な矛盾があることを監督機関から指摘された。
A. 予備調査の結果、この不一致は組織のデータ品質に関する問題が原因であることが判明した。 経営陣はデータ品質チームにプログラムを強化するよう指示した。監査委員会は、内部監査にこのプロセスのアドバイザーを依頼した。経営陣の懸念に確実に対処するために、内部監査が最初にレビューするよう推奨すべきデータセットはどれか?
B. お客様の個人情報を含むデータ
C. 規制機関への報告データ
D. 財務諸表を裏付けるデータ
E. ビジネス目標に影響を与えるデータ
回答を見る
正解: A
質問 #108
主要なアプリケーション開発プロジェクトに対する統制の評価において、IS監査人の時間を最も効果的に使用できるのは、レビューと評価であろう:
A. アプリケーションのテストケース。
B. 受け入れテスト
C. 費用便益分析
D. プロジェクト計画
回答を見る
正解: A
質問 #109
医療機関が患者データを適切に扱っていることを最も確実に保証するテストはどれか。
A. 最近の監査による行動計画の遵守状況
B. 現地法令の遵守
C. 業界標準およびベストプラクティスの遵守
D. 組織の方針と手順の遵守
回答を見る
正解: B
質問 #110
アプリケーションの設計に関与した IS 監査人が、アプリケーションのレビューを依頼された。監査人は次のことを行うべきである:
A. 利益相反を避けるため、任務を拒否する。
B. アプリケーションの知識を利用して監査を実施する。
C. 以前の関与について監査マネジメントに報告する。
D. 監査範囲を変更する。
回答を見る
正解: C
質問 #111
インシデント管理プロセスが効果的であることを示す最良のものはどれか。
A. インシデント解決時間の短縮
B. IT管理者によるインシデントレビュー件数の増加
C. ヘルプデスクへの問い合わせ件数の減少
D. 重大インシデントの報告件数の増加
回答を見る
正解: A
質問 #112
情報セキュリティプログラムの成熟度が最も高いレベルはどれか。
A. 情報セキュリティ意識を向上させるための研修プログラムを実施している。
B. リスクを測定し、有効性を追跡するための枠組みがある。
C. 情報セキュリティ方針と手順を確立する。
D. プログラムは、規制およびコンプライアンス要件を満たしている。
回答を見る
正解: A
質問 #113
ある組織で、従業員が個人のモバイルデバイスに機密データを保持することを許可している。デバイスの紛失や盗難によるデータ漏えいのリスクを軽減するための推奨事項として、最も適切なものはどれか。
A. 従業員にセキュリティ意識向上トレーニングの受講を義務付ける。
B. 重要なデータファイルをパスワードで保護する。
C. 複数回アクセスに失敗した後、自動ワイプするように設定する。
D. デバイスの自動ロック機能を有効にする。
回答を見る
正解: C
質問 #114
仮想マシン上に暗号化されずに保存されたデータの機密性と完全性を保護するための最も効果的なコントロールはどれですか?
A. 仮想マシンの保存イメージとスナップショットへのアクセスを監視する。
B. 仮想マシンのイメージとスナップショットへのアクセスを制限する。
C. 仮想マシンイメージとスナップショットの作成を制限する。
D. 仮想マシンの論理アクセス制御を定期的に見直す
回答を見る
正解: A
質問 #115
新システムのセキュリティ認証には、システムの実装に先立って、次のうちどれを含めるべきか。
A. エンドユーザーによる本番システム使用の承認
B. 財務統制に関する外部監査のサインオフ
C. 本番環境でのシステムのテスト
D. 構成管理プラクティスの評価
回答を見る
正解: A
質問 #116
ストレス・テストは、理想的には、ある条件の下で実施されるべきである:
A. 本番ワークロードを使用したテスト環境。
B. 本番ワークロードを使用する本番環境。
C. テストデータを含む本番環境
D. テストデータとテスト環境
回答を見る
正解: A
質問 #117
あるIS監査人がデータセンターのレビューを行っている。次の観察事項のうち、アクセス制御の問題を示す可能性があるのはどれか。
A. 正面玄関外に設置された監視カメラ
B. コンピュータルーム入口に静電気防止マットを設置
C. 非常口から直接入った泥だらけの足跡。
D. 施設周辺のフェンスの高さは2メートル
回答を見る
正解: C
質問 #118
ある組織が、ユーザのセキュリティ意識レベルをテストするために、電子メールの本文に埋め込まれたリンクをクリックしたユーザ10名に賞金を提供する電子メールを送信する演習を実施しました。次の指標のうち、意識向上トレーニングの効果を最もよく示すものはどれですか。
A. フィッシングメールであることを報告せずにメールを削除したユーザー数
B. メールの送信者についてもっと知るためにリンクをクリックしたユーザー数
C. ビジネスユニットのマネージャーにメールを転送したユーザーの数
D. 情報セキュリティチームに電子メールの受信を報告したユーザーの数
回答を見る
正解: D
質問 #119
ハッカーがドメインコントローラのよく知られた脆弱性を悪用したセキュリティ侵害の後、IS監査はコントロールアセスメントの実施を依頼された:
A. パッチが更新された。
B. ログを監視した。
C. ネットワークトラフィックを監視していた。
D. ドメインコントローラは高可用性のために分類されました。
回答を見る
正解: A
質問 #120
ソーシャル・エンジニアリングの攻撃手法はどれか?
A. 許可されていない人物が、安全なドアから許可された人物の後を追って、安全な施設にアクセスしようとする。
B. 従業員が電話で質問に答えることにより、機密のIPアドレスとパスワードを明かすよう誘導される。
C. ハッカーがスキャンツールを使ってオフィスビル内を歩き回り、ワイヤレスネットワークを探してアクセスする。
D. 侵入者が盗聴し、ネットワークを流れる機密情報を収集し、第三者に販売する。
回答を見る
正解: B
質問 #121
ホットサイトの契約交渉において、最も懸念されるのは次のうちどれか?
A. 複数の災害宣言が出された場合のサイトの利用可能性
B. 複数の災害宣言が出された場合の現地スタッフとの調整
C. 他団体との相互協定
D. 復旧計画の完全なテスト
回答を見る
正解: A
質問 #122
ITとビジネス戦略の整合性を測る指標として、最も適切なものはどれか。
A. 計画されているITプロジェクトの範囲に対するステークホルダーの満足度
B. IT関連リスクを含む企業リスク評価の割合
C. IT関連の役割に満足している統計の割合
D. ビジネスプロセス能力成熟度評価の頻度
回答を見る
正解: B
質問 #123
あるIS監査人が、管理者が任意のテーブルを直接変更できるデータベースのオプションを発見した。このオプションはソフトウェアのバグを克服するために必要であるが、ほとんど使用されていない。テーブルへの変更は自動的に記録される。IS監査人の最初の行動は次のとおりである:
A. データベースを直接修正するオプションを直ちに削除することを勧める。
B. システム上、データベースの修正には2人の担当者が必要であることを推奨する。
C. テーブルへの変更ログがバックアップされているかどうかを確認する。
D. 監査証跡が確保され、レビューされているかどうかを判断する。
回答を見る
正解: D
質問 #124
ライブラリ管理ソフトウェアパッケージの次の機能のうち、ソースコードの不正な更新から保護するものはどれか。
A. 各ライフサイクル段階で必要な承認
B. ソースコードとオブジェクトコードの日付と時刻のスタンプ。
C. ソース・ライブラリのアクセス制御
D. ソースコードのリリース間比較
回答を見る
正解: B
質問 #125
ある組織が機密データを含むシステムを廃棄することになり、ハードディスクからすべてのファイルを削除した。IS監査人は、次のことを懸念すべきである:
A. 削除されたデータは簡単には取り戻せない。
B. 論理的にファイルを削除しても、ファイルの物理的データは上書きされない。
C. ファイルのバックアップ・コピーも削除されなかった。
D. すべてのファイルを個別に削除するのは、ハードディスクのフォーマットほど効率的ではありません。
回答を見る
正解: B
質問 #126
あるIS監査人が、あるデータベース管理システム(DBMS)から別のデータベース管理システム(DBMS)への移行に伴うリスクを評価している。
A. 同じデータ分類を維持する
B. 同じデータ入力を維持する
C. 同じデータ構造を維持する
D. 同じデータインターフェイスを維持する
回答を見る
正解: C
質問 #127
高リスク分野のIT全般統制監査において、内部監査チームと外部監査チームの両方が、リソースを最適化するために同じアプローチを検討していますか?
A. 外部監査が実施した作業を内部監査のテストに活用する。
B. 内部監査人と外部監査人が同時に作業を行うようにする。
C. 外部監査チームに内部監査作業の活用を要請する。
D. 一般統制監査を翌監査年度に繰り越す。
回答を見る
正解: B
質問 #128
ある組織が、基幹アプリケーションの開発を外注している。しかし、その組織は、アプリケーションのサポートと将来の保守を社内に戻すことを計画している。
A. アウトソーシングのコストは、自社開発よりも低い。
B. ベンダーの開発チームは海外にある。
C. ビジネスユーザー向けのトレーニング計画が策定されていない。
D. データモデルが明確に文書化されていない。
回答を見る
正解: D
質問 #129
情報漏えいのリスクを低減するための最も効果的な予防管理として、IS監査人が推奨するものはどれか。
A. 紙文書が安全に廃棄されるようにする。
B. 侵入検知システム(IDS)を導入する。
C. アプリケーションのログに変更が記録されていることを確認する。
D. すべてのデータファイルに電子透かしが含まれていることを検証する。
回答を見る
正解: D
質問 #130
買掛金管理部門における適切な職務分掌を確保するための管理BESTはどれか。
A. トランザクションの監査証跡の確保
B. 更新プログラムへのアクセスを買掛金担当者のみに制限する。
C. 作成者のユーザーIDを、作成されたすべてのトランザクションレコードのフィールドとして含める。
D. ユーザーセキュリティプロファイルに従ってプログラムの機能を制限する。
回答を見る
正解: D
質問 #131
IS監査人がアプリケーションシステムの変更管理に関する文書をレビューしているとき、本番稼動前にテストされていないパッチをいくつか発見した。この状況から生じる最も重大なリスクはどれか。
A. アプリケーションサポートの喪失
B. システムの完全性の欠如
C. 古いシステム文書
D. デベロッパーアクセス 1o プロダクション
回答を見る
正解: B

送信後に回答を表示する

質問の回答を得るには、電子メールと WhatsApp を送信してください。

注: 正しい試験結果を得ることができるように、電子メール ID と WhatsApp が有効であることを確認してください。

Eメール:
WhatsApp/電話番号:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.