すべての情報を見逃したくないですか?

認定試験に合格するためのヒント

最新の試験ニュースと割引情報

当社の専門家による厳選最新情報

はい、ニュースを送ってください

効率的な試験準備のための最新のISACA CRISC試験問題集

Certified in Risk and Information Systems Control (CRISC) 資格の取得は、リスクマネジメントの専門家にとって貴重な財産です。しかし、CRISC試験の準備をするのは難しいことです。そこで、SPOTOのCRISC試験問題集とリソースが役に立ちます。SPOTOはCRISC試験の目標に合わせたCRISC試験問題集、試験問題集、模擬試験及び参考書を提供します。弊社のCRISC試験対策問題集は精確に実際試験の範囲を絞ります。SPOTOのCRISC試験問題集を利用すれば、さらに勉強して練習する必要がある分野を特定し、企業のビジネス回復力を高め、ステークホルダーに価値を提供し、企業全体のリスク管理を最適化するために必要な知識と技能を確実に身につけることができます。これらの試験リソースを活用し、模擬試験で練習することで、効果的に準備を行い、CRISC認定試験に合格する可能性を高めることができます。
他のオンライン試験を受ける
質問 #1
情報セキュリティ管理策の評価で、効果のない管理策が特定された。リスク実務者が最初にとるべき行動はどれか。
A. 特定された不備に対処するために、代償措置を導入する。
B. 次回の監査報告書に記載するために、有効でない管理を報告する。
C. 影響がリスク選好度の範囲外かどうかを判断する
D. 上級管理職にリスクの正式な受け入れを要請する。
回答を見る
正解: A
質問 #2
組織内の悪意のあるユーザーに関連するリスクを定量化するのに最適なものはどれか?
A. ビジネスインパクト分析
B. 脅威リスク評価
C. 脆弱性評価
D. リスク分析
回答を見る
正解: B
質問 #3
コントロール・モニタリングの自動化を評価する際に、最も考慮すべきことはどれか?
A. コントロール不能の頻度
B. 残存リスクに対するコンティンジェンシープラン
C. 自動化の費用対効果分析
D. コントロール不能による影響
回答を見る
正解: D
質問 #4
リスク管理能力の成熟度レベルについて、次の記述のうち正しいものはどれか。「リスクイベントと管理例外のリアルタイムモニタリングが存在し、ポリシー管理の自動化が存在する。
A. レベル3
B. レベル0
C. レベル5
D. レベル2
回答を見る
正解: C
質問 #5
管理活動計画の実施の有効性を示す指標として、最も適切なものはどれか。
A. リスク選好度の上昇
B. コントロール数の増加
C. リスクレベルの低下
D. ステークホルダーのコミットメント
回答を見る
正解: C
質問 #6
あなたは大規模な建設プロジェクトのプロジェクトマネージャーである。このプロジェクトの期間は18ヶ月、完成までにかかる費用は75万ドルです。あなたは、プロジェクトチーム、専門家、利害関係者と協力して、プロジェクト作業開始前にプロジェクト内のリスクを特定しようとしています。経営陣は、なぜあなたがプロジェクト計画中だけでなく、プロジェクト全体を通してこれほど多くのリスク特定会議を予定しているのか知りたがっています。リスク識別会議を何度も開く理由は何でしょうか?
A. 反復会議により、すべての利害関係者がプロジェクトの全フェーズを通じてリスク識別プロセスに参加できる。
B. 反復ミーティングによって、プロジェクトマネージャーは、プロジェクトを通過したリスク事象と、起こらなかったリスク事象について議論することができる。
C. 反復ミーティングにより、プロジェクトマネジャーとリスク特定参加者は、プロジェクトを通じて新たに発見されたリスク事象を特定することができる。
D. 反復ミーティングによって、プロジェクトマネージャーはプロジェクト実行中に発生する懸案事項を伝えることができる。
回答を見る
正解: C
質問 #7
ある組織が、顧客データの漏えいに対して重い罰金が課される法域で事業を展開している。内在するリスクの影響を評価するための最良のインプットはどれか。
A. 顧客記録の保有数
B. 顧客データをホストするデータベースの数
C. 暗号化された顧客データベースの数
D. 顧客データにアクセスできるスタッフの数
回答を見る
正解: D
質問 #8
すべての利害関係者の間で伝達されなければならない、最も重要なリスク要素は次のうちどれですか?それぞれの正解は、解決策の一部を表しています。3つ選びなさい。
A. IRGCモデルは、新たなリスクや既存のリスクに対して、強固で統合的な学際的ガバナンスモデルを構築することを目的としている。
B. IRGCは概念であり道具でもある。
C. IRGCは、レジリエンス(回復力)の育成と、不可避のリスクに立ち向かう組織や人々の能力の開発に取り組んでいる。
D. IRGCは、リスクの二次的影響の理解に取り組む。
回答を見る
正解: BCD
質問 #9
あなたはQPSプロジェクトのプロジェクトマネージャーです。あなたとプロジェクトチームは純粋リスクを特定しました。あなたは主要な利害関係者と共に、プロジェクト計画を全面的に変更することにより、プロジェクトから純粋なリスクを取り除くことを決定しました。純粋リスクとは何ですか?
A. 5
B. 7
C. 1
D. 4
回答を見る
正解: A
質問 #10
特定されたリスクを効率的に管理する上で、最も効果的なのはどれか。
A. 統制環境の成熟度の見直し
B. 各資産の主要リスク指標をリスク登録簿に記載すること。
C. プロジェクト計画を定期的にモニタリングする
D. リスク処理計画に基づく管理策の定期的な見直し
回答を見る
正解: A
質問 #11
次のリスク登録の更新のうち、上級管理職がレビューすることが最も重要なものはどれですか?
A. 以前は受け入れられていたリスクの回避
B. 将来の行動計画の期日を2カ月延長する
C. 使用されなくなったリスクシナリオの削除
D. リスク所有者の変更
回答を見る
正解: B
質問 #12
あなたは会社のGHYプロジェクトのプロジェクトマネージャーです。あなたは、新しいリスク、変化するリスク、時代遅れになったリスクに注意するプロジェクトマネジメントプロセスを完成させる必要があります。これらのアクションを担当するプロジェクトマネジメントプロセスはどれですか?
A. リスク計画
B. リスクの監視と管理
C. リスクの特定
D. リスク分析
回答を見る
正解: B
質問 #13
あるアプリケーションオーナーが、インシデント発生時に許容できるダウンタイムを、対応チームがアプリケーションを復旧させるのに必要な実際の時間よりもかなり短く指定しました。次のうち、次にとるべき行動はどれですか?
A. インシデント発生時に災害復旧計画を呼び出す
B. 対応チームの強化による復旧時間の短縮
C. 利用可能な代替案の費用便益分析を準備する
D. アプリケーション用に冗長インフラを導入する
回答を見る
正解: C
質問 #14
最近発見された技術的脆弱性が活発に悪用されていることを、多数のメディアが報じている。このシナリオへの対応として最も適切なものはどれか。
A. 脆弱性管理プロセスの評価
B. 統制の自己評価を実施する
C. ターゲット固有のリスクを再評価する
D. 脆弱性評価の実施
回答を見る
正解: D
質問 #15
ITリスクと統制の自己評価のうち、経営幹部への報告書に含めることが最も重要なものはどれか。
A. キーコントロールの数の減少
B. コントロール・デザインの変更
C. 残留リスクの増加
D. 支配権の変更
回答を見る
正解: D
質問 #16
リスク分析の年率損失予想(ALE)法:
A. 低、中、高といった定性的なリスクランクを用いる
B. 間接的なビジネスインパクトを判断するために使用できる。
C. コントロールの予想コスト算出に役立つ
D. 費用便益分析に使用できる
回答を見る
正解: D
質問 #17
IT資産管理プロセスの有効性を監視するための重要業績評価指標(KPI)として、最も適切なものはどれか。
A. パッチ未適用のIT資産の割合
B. 前月に調達したIT資産の数
C. 過去1年間に安全に廃棄されたIT資産の数
D. 所有権のないIT資産の割合
回答を見る
正解: C
質問 #18
脆弱性管理プロセスの有効性を測定するための重要業績評価指標(KPI)として、最も適切なものはどれか。
A. 合意されたサービスレベル内に修復された脆弱性の割合
B. 期間中に確認された脆弱性の数
C. 期間中に再開された脆弱性の件数
D. 上級管理職にエスカレーションされた脆弱性の割合
回答を見る
正解: A
質問 #19
リスクシナリオを作成するための要件は何ですか?それぞれの正解は解決策の一部を表しています。(3つ選べ)
A. 原因と結果の判定
B. リスクのあるビジネスプロセスの価値の決定
C. 損失を引き起こす可能性のある脅威と脆弱性
D. 資産価値の決定
回答を見る
正解: BCD
質問 #20
大規模なITプロジェクトを確実に成功させるために、最も重要なことは以下の通りである:
A. ビジネスプロセスのオーナーから承認を得る
B. 適切なステークホルダーのコミットメントを得る
C. リスク登録簿を定期的に更新する。
D. 組織の戦略計画と整合させる
回答を見る
正解: B
質問 #21
ワイヤレスネットワーク特有のリスクを管理する最も良い方法はどれか?
A. ワイヤレスネットワークに接続するすべてのホストで監査を有効にする
B. ワイヤレスネットワークに接続するには、プライベートキーベースの暗号化を必要とする
C. このネットワークに接続するすべてのホストに、十分にテストされたリカバリプランを要求する。
D. ワイヤレスネットワークへのすべての接続で監査を有効にする
回答を見る
正解: B
質問 #22
変更が完了してから本番に移行するのが最も適切である:
A. 経営者の承認
B. ビジネス・オーナーによるテスト
C. 経営管理への伝達
D. ビジネス・ユーザー主導
回答を見る
正解: B
質問 #23
リスクマネジメントプロセスを見直すことの成果として、最も重要なものはどれか。
A. 審査を行った従業員の能力向上
B. リスクプロファイルがIT目標をサポートすることを保証すること
C. リスクを低減するために、ISポリシーにどのような変更を加えるべきかを決定する。
D. リスクアセスメントで使用される手順が適切であることの判断
回答を見る
正解: B
質問 #24
管理プロセスの継続的な効率を判断する最も良い方法はどれか。
A. インタビュー・プロセス・オーナー
B. リスク登録の見直し
C. 毎年リスクアセスメントを実施する
D. 主要業績評価指標(KPI)の分析
回答を見る
正解: D
質問 #25
COSO ERMに記述されているフレームワークの中で、3次元モデルの目的として考えられている項目はどれか。
A. リスク評価
B. 財務報告
C. 制御環境
D. モニタリング
回答を見る
正解: B
質問 #26
次のうち、情報システム統制の欠陥を特定する最も適切な方法はどれか。
A. コントロール自己評価(CSA)
B. 脆弱性と脅威の分析
C. ユーザー受け入れテスト(UAT)
D. 管理改善計画
回答を見る
正解: B
質問 #27
バックアップ・プロセスの有効性を測定するための最良の主要業績評価指標(KPI)は、バックアップの回数であろう:
A. バックアップのリカバリ要求
B. バックアップを監視するリソース
C. 修復モニタリング報告書
D. 繰り返されるリストアの失敗
回答を見る
正解: C
質問 #28
より大きな賛同とオーナーシップを確保するために、リスク指標を選択する際に考慮すべきことは次のうちどれでしょうか?
A. ラグ指標
B. リード指標
C. 根本原因
D. ステークホルダー
回答を見る
正解: D
質問 #29
高度な持続的脅威(APT)を検知するためのコントロールとして、最も適切なものはどれか。
A. ソーシャルメディア活動の監視
B. 定期的なペネトレーションテストの実施
C. アンチウイルスシステムとファイアウォールの活用
D. 自動ログ監視の導入
回答を見る
正解: B
質問 #30
特定されたリスクが企業全体の目的に及ぼす影響を数値的に分析するプロセスは、次のうちどれか。
A. リスクの特定
B. 定量的リスク評価
C. 定性的リスク評価
D. リスクの監視と管理
回答を見る
正解: B
質問 #31
初めて、調達部門がIT部門にサードパーティのサプライヤーへのリモートアクセスを許可するよう要求しました。IT部門がこの要求に対応する際の最善の行動はどれか。
A. ITリスクを分析した上で解決策を提案する
B. 鍵認証管理の設計と実装
C. 安全なリモートアクセスプロセスの設計と実装
D. 新しいビジネスケースに見合った適切な社内基準
回答を見る
正解: A
質問 #32
該当するすべてのリスクシナリオがリスク登録簿に組み込まれていることを確認するために、以下を見直すことが最も重要である:
A. リスク評価結果
B. 費用便益分析
C. 脆弱性評価結果
D. リスク軽減アプローチ
回答を見る
正解: A
質問 #33
定性的リスク分析を行う際に、次のうちどれを使えば包括的な結果が得られるか?
A. 脅威と影響を伴うシナリオ
B. 費用便益分析
C. 情報資産の価値
D. 脆弱性評価
回答を見る
正解: A
質問 #34
あるリスク実務家が、組織の災害復旧(DR)能力に関する報告書の作成を支援している。全体的な復旧プロファイルに最も影響を与える情報はどれか?
A. 復旧目標時間を達成するシステムの割合が増加した。
B. 復旧計画を必要とするシステムの数が増えた
C. 過去1年間にテストされたシステムの数が増えた
D. 回復目標時間が長いシステムの割合が減少した
回答を見る
正解: B
質問 #35
次のビジネス要件のうち、弾力性のあるビジネス・プロセスと情報システム・プロセスの必要性に最も関連するものはどれですか?
A. 守秘義務
B. 効果
C. 誠実さ
D. 可用性
回答を見る
正解: D
質問 #36
最新のリスク登録簿を維持する第一の利点は、以下のことに役立つことである:
A. 事業部門のリスクを均一に分散させる
B. マネジメントレビューのためのリスクプロファイルの構築
C. 組織のリスク選好度を定量化する
D. 一般的なリスクシナリオに対して統一的な管理を実施する。
回答を見る
正解: B
質問 #37
ある組織では、従業員が組織の電子メールを個人的に使用することを禁止するために、どのようなポリシーを使用するでしょうか?
A. ハラスメント防止方針
B. 利用規定
C. 知的財産ポリシー
D. プライバシーポリシー
回答を見る
正解: B
質問 #38
経営陣のIT統制の自己評価をレビューした際、あるリスク実務家が、いくつかの残存リスクの低いシナリオに関連する、効果のない統制を指摘しました。次に取るべき行動は何でしょうか?
A. 緩和策の提案
B. 経営陣のリスク許容度を評価する
C. 経営陣に低リスクシナリオの受け入れを勧める
D. コントロールに関連するリスクシナリオの再評価
回答を見る
正解: A
質問 #39
あなたは GHT プロジェクトのプロジェクトマネージャーです。あなたは、プロジェクトにおける不正な変更を防止するために、ある管理策を適用しています。そのために、次のどの管理を適用しますか?
A. 人的セキュリティ管理
B. アクセス・コントロール
C. 構成管理コントロール
D. 物理的および環境保護管理
回答を見る
正解: C
質問 #40
システムから収集したログデータを分析する主な目的はどれか。
A. 顕在化する可能性のあるリスクを特定する。
B. 事故調査を容易にする。
C. リスク・オーナーシップの変化を検出する。
D. 顕在化したリスクに起因する事故を防止する。
回答を見る
正解: A
質問 #41
アウトソーシングされたデータセンターのサービス契約(SLA)において、最も重要な重要業績評価指標(KPI)はどれか。
A. ホストしている主要システムの数
B. システム稼働率
C. システム・インシデントを解決するための平均応答時間
D. 復旧プロセスに含まれるシステムの割合
回答を見る
正解: B
質問 #42
リスクシナリオに優先順位をつけるための最も効果的な方法は、以下のとおりである:
A. 戦略計画への影響を評価する
B. リスク管理の専門家から意見を求める
C. 業界のベストプラクティスに合わせる
D. リスク対応コストの評価
回答を見る
正解: A
質問 #43
特定されたリスクシナリオを軽減する最も効果的な方法はどれか。
A. 組織のリスク許容度を文書化する。
B. リスク対応計画のオーナーシップを割り当てる。
C. リスクの早期発見を意識させる。
D. 特定されたリスク領域について定期的な監査を実施する。
回答を見る
正解: D
質問 #44
あなたは、ウェブサイトを通じて様々な製品を販売しているテックマート社で働いているとします。最近、いくつかの損失が発生したため、あなたはウェブサイトにとって最も重要なリスクを特定しようとしています。複数の専門家からのフィードバックに基づき、あなたはリストを作成しました。あなたは今、これらのリスクに優先順位をつけたいと考えている。では、無許可の第三者によるウェブサイトの改ざんに関するリスクをどのカテゴリーに入れますか?
A. ピングフラッディング攻撃
B. ウェブ改ざん
C. サービス拒否攻撃
D. FTPバウンス攻撃
回答を見る
正解: B
質問 #45
あなたはGHTプロジェクトのプロジェクトマネージャーです。あなたはリスクを分析し、適切なコントロールを適用した。その結果、あなたは残留リスクを得ました。残留リスクは次のうちどれを判断するのに使えますか?
A. 問題
B. 不測の事態への対応
C. トリガー
D. しきい値
回答を見る
正解: CD
質問 #46
あなたは広告サイトを制作している株式会社ブルーウェルで働いています。誰かがあなたのウェブサイトに不正な変更を加えました。このような損害を指す用語は次のうちどれでしょうか?
A. 守秘義務の喪失
B. 完全性の喪失
C. 稼働率の低下
D. 減収
回答を見る
正解: B
質問 #47
大規模なソフトウェア開発プロジェクトでは、リスクアセスメントを実施することが最も効果的である:
A. ビジネスケースの作成中
B. SDLCの各段階で
C. システム開発時
D. システム開発開始前
回答を見る
正解: B
質問 #48
あなたはHGTプロジェクトのプロジェクトマネージャーです。あなたはリスク対応プロセスの第一段階におり、以下の作業を行っています:-リスク分析結果の伝達-リスク管理活動とコンプライアンス状況の報告独立したリスク評価結果の解釈-ビジネス機会の特定あなたは以下のプロセスのどれを行っていますか?
A. リスクの明確化
B. リスクの軽減
C. リスクの追跡
D. リスク報告
回答を見る
正解: A
質問 #49
あなたは企業で働いています。あなたの企業が定期的に完成品在庫レベルをERPシステムの永久在庫と比較していると仮定します。永久在庫レベルと実際レベルとの間に有意な差異がないことから、どのような情報が提供されていますか?
A. 直接情報
B. 間接的な情報
C. リスク管理計画
D. リスク監査情報
回答を見る
正解: B
質問 #50
意思決定ツリー分析において、リスクに基づく意思決定の潜在的選択肢はどのように表現されるのか?
A. ステークホルダー・マネジメント戦略
B. 教訓の文書化
C. リスク登録
D. リスク管理計画
回答を見る
正解: D
質問 #51
リスクシナリオを作成する際、利害関係者の懸念を取り入れる最も効果的な方法はどれか?
A. リスクインパクトの評価
B. 四半期リスク報告書の作成
C. 重要業績評価指標の設定
D. 内部監査の実施
回答を見る
正解: C
質問 #52
ビジネスの観点から、災害復旧テストの最も重要な目的はどれですか?
A. すべてのビジネスクリティカルなシステムは、正常にテストされている。
B. 災害復旧プロセスでエラーが発見される。
C. すべての重要なデータは、復旧時間目標(RTO)内に復旧される。
D. 組織として、その組織がディザスターから回復できるという保証を得る。
回答を見る
正解: C
質問 #53
あるリスク実務者は、リスクオーナーが情報セキュリティポリシーの例外を多数承認して いることを観察した。リスク実務者が最も懸念すべきことはどれか。
A. 許容閾値に近づく総合リスク
B. 脆弱性が緩和されていない
C. セキュリティポリシーが定期的に見直されていない
D. リスク所有者は効率を重視している
回答を見る
正解: A
質問 #54
リスク軽減方法を確立する際、データ所有者が優先するのはどれか。
A. ユーザー資格の変更
B. プラットフォームのセキュリティ
C. 侵入検知
D. ウイルス対策
回答を見る
正解: A
質問 #55
不正なユーザーからオンライン金融取引を守るのに最も役立つのはどれか?
A. 多要素認証
B. 監査証跡の定期的レビュー
C. マルチレベル認証
D. ログイン試行のレビュー
回答を見る
正解: A
質問 #56
リスクプラクティショナーは、ある重要な統制が設計上の期待に合致していないと判断した。次に行うべきことはどれか。
A. インシデント対応計画の発動
B. コントロールの設計を変更する
C. 発見事項をリスク登録簿に記録する
D. 主要リスク指標の再評価
回答を見る
正解: C
質問 #57
次のうち、3つの防衛ラインモデルの第2ラインの例はどれか?
A. 社外監査役
B. 内部監査人
C. リスク管理委員会
D. リスクオーナー
回答を見る
正解: C
質問 #58
リスク登録簿を管理する際に最も懸念されるのは、以下の点である:
A. 経営陣は定期的な見直しを行っていない。
B. 危険因子の有意な変化は除外する。
C. ITリスクはIT資産とリンクしていない。
D. 影響は定性的に記録される。
回答を見る
正解: B
質問 #59
監視ツールが企業の成長に対応できることを保証するのは、次のうちどれですか?
A. スケーラビリティ
B. カスタマイズ性
C. 持続可能性
D. パフォーマンスへの影響
回答を見る
正解: A
質問 #60
リスクマネジメントのすべてのプロセスとともに作成される。定性的リスク分析、定量的リスク分析、リスク対応計画の結果を含む。"
A. 脅威の発生頻度の減少
B. 内在するリスクの最小化
C. 脅威の影響の軽減
D. 残存リスクの最小化
回答を見る
正解: C
質問 #61
企業の主要な監視指標であり、関連性が高く、重要なリスクを予測または指示する可能性が高い。
A. 主なリスク指標
B. ラグ指標
C. リード指標
D. リスク指標
回答を見る
正解: A
質問 #62
主要リスク指標(KRI)の最も効果的なモニタリングを実施するためには、次のうちどれが必要ですか?
A. 自動データフィード
B. コントロール・モニタリング
C. エスカレーション手順
D. しきい値の定義
回答を見る
正解: B
質問 #63
次のうち、リスク対応プロセスのトリガーとなるものはどれか。
A. 1
B. インフィニティ
C. 10
D. 0
回答を見る
正解: B
質問 #64
あなたはブルーウェル社の IT マネージャーです。あなたは、特定の種類のトランザクションで処理される情報を保護するための新しい規則を特定します。あなたが最初に取る行動は何でしょうか?
A. 既存の管理方法が規定を満たしているかどうかを評価する
B. 既存のセキュリティ・プライバシーポリシーを更新する
C. 利害関係者と会合を持ち、遵守方法を決定する
D. コンプライアンス・プロセスにおける主要なリスクを分析する。
回答を見る
正解: A
質問 #65
次のうち、リスクに関するデータを収集し、リスクを明確化する役割を担うキャリアはどれか?
A. 企業リスク委員会
B. ビジネス・プロセス・オーナー
C. 最高情報責任者(CIO)
D. チーフ・リスク・オフィサー(CRO)
回答を見る
正解: D
質問 #66
プロジェクトの成否を左右する最大の要因のひとつとして、次のうちどの対人スキルが挙げられていますか?
A. モチベーション
B. 影響力
C. コミュニケーション
D. 政治的・文化的意識
回答を見る
正解: C
質問 #67
リスク登録簿の各リスクシナリオの所有者を特定するのに最も役立つのはどれか。
A. リスク要因に対する責任を資産所有者に平等に割り当てる。
B. 資産のリソース依存性の決定
C. 特定されたリスク要因を特定のビジネスプロセスにマッピングする。
D. どの部門が最もリスクに貢献しているかを判断する。
回答を見る
正解: C
質問 #68
ウェンディは、自分のプロジェクトにおいて、7万5,000ドルの影響があり、60パーセントの確率で発生するリスク事象を特定した。調査を通じて、彼女のプロジェクト・チームは、このリスク事象が発生する確率は10%で、その影響をわずか15,000ドルに軽減できることを知る。提案された解決策は25,000ドルかかる。ウェンディは25,000ドルの解決策に同意する。これはどのようなリスク対応でしょうか?
A. 緩和
B. 回避
C. 転移
D. 強化
回答を見る
正解: A
質問 #69
グループ、個人、機関などの利害関係者の間で、リスクに関する情報や見解を交換するプロセスである。
A. リスク・ガバナンス
B. リスクの特定
C. リスク対応計画
D. リスクコミュニケーション
回答を見る
正解: D
質問 #70
あなたはブルーウェル社のリスク専門家です。あなたはリスクを特定し、特定のリスク軽減活動を実施したいと考えています。何を利用すべきですか?
A. 脆弱性評価報告書
B. ビジネスケース
C. 技術評価報告書
D. 予算要件
回答を見る
正解: B
質問 #71
IT関連のリスクを継続的に監視する主な理由はどれか。
A. リスクレベルが組織のリスク選好度およびリスク許容度の許容範囲内にあることを確認する。
B. リスク要因の変化に基づき、リスク選好度とリスク許容度を再定義する。
C. インシデントの根本原因を特定し、適切な長期的解決策を推奨する。
D. 特定されたリスクおよび新たなIT関連リスクのレベルの変化を反映するために、リスク登録簿を更新すること。
回答を見る
正解: A
質問 #72
ある企業が、企業のウェブサイトを通じて顧客からクレジットカードによる支払いを受け付けるようになりました。この新しい取り組みの結果、最も増加する可能性が高いのは次のうちどれですか?
A. リスク選好
B. 残留リスク
C. リスク許容度
D. 固有のリスク
回答を見る
正解: D
質問 #73
リスク所有者は、その責任を負うべきである:
A. アクションの実行
B. コントロールの管理
C. リスク管理プロセス
D. ビジネスプロセス
回答を見る
正解: A
質問 #74
効果的な統制環境は、以下のような統制によって示されるのが最良である:
A. 上級管理職のリスク許容度を最小限に抑える
B. 組織のリスク選好度の範囲内でリスクを管理する
C. 費用対効果が高い
D. 主要リスク指標(KRI)の閾値を下げる
回答を見る
正解: D
質問 #75
解雇された従業員のネットワークアクセスがサービスレベル合意(SLA)に従って失効されていないことを早期に警告するBESTはどれか。
A. 主要アクセス制御パフォーマンス指標の監視
B. 多要素認証の更新
C. アクセス制御ログを分析し、不審なアクティビティを調べる
D. サービス・レベル契約(SLA)の改定
回答を見る
正解: A
質問 #76
特定のリスクに対するアカウンタビリティは、BESTな形で表現される:
A. リスク登録
B. RACIマトリックス。
C. リスクカタログ
D. リスクシナリオ
回答を見る
正解: B
質問 #77
あなたはRFTプロジェクトのプロジェクトマネージャーです。あなたは、企業のITシステムとアプリケーションの状況が非常に複雑であるため、数年以内に容量を拡張することが困難になり、ソフトウェアの保守に非常にコストがかかるというリスクを認識しています。このリスクを克服するために、採用された対応策は、既存システムの再構築と新しい統合システムの購入である。このケースは、次のリスクの優先順位付けのうちどれに分類されるでしょうか?
A. 延期
B. クイックウィン
C. ビジネスケースの作成
D. 伝染リスク
回答を見る
正解: C
質問 #78
組織の方針の最も重要な特徴は、組織の方針を反映することである:
A. リスク選好
B. 能力
C. 資産価値
D. リスクアセスメントの方法論
回答を見る
正解: A
質問 #79
リスク管理能力の業務上の有効性を測るのに最も適切なものはどれか。
A. 能力成熟度モデル(CMM)
B. 指標のしきい値
C. 主要リスク指標(KRI)
D. 主要業績評価指標(KPI)
回答を見る
正解: D
質問 #80
リスク実務家が内部監査報告書に関心を持つ主な理由は以下の通りである:
A. コンプライアンス違反に基づくリスク登録の維持
B. ビジネス・マネージャー向けの意識向上プログラムを企画する
C. リスクプロファイルの作成を支援する。
D. リスク管理プロセスの成熟度の評価
回答を見る
正解: D
質問 #81
ある組織がマネージド・ホスティング・サービスを利用しているが、その場所が20年ごとに洪水に見舞われる可能性があることが判明した。次のうち、誰にこの新しい情報を最初に通知すべきでしょうか?
A. このインフラによって実現されるビジネスサービスも所有するリスク所有者
B. 契約に基づき、毎年リスクアセスメントを実施することが義務付けられている現場責任者
C. マネージドホスティングサービス契約でも雇用されているデータセンター管理者
D. ホステッドサービスの責任者である最高情報責任者(CIO)
回答を見る
正解: A
質問 #82
あなたは会社のプロジェクトマネージャーで、プロジェクトに新しい変更要求が承認されました。しかし、この変更要求によって、プロジェクトにいくつかの新たなリスクが発生しました。あなたは、これらのリスク事象を伝え、プロジェクトの利害関係者は、これらのリ スクがプロジェクトに及ぼす可能性のある影響を理解しています。あなたは、特定されたリスク事象に対する緩和対応を作成することを選択しました。緩和対応をどこに記録しますか?
A. リスク登録
B. リスクログ
C. プロジェクト管理計画
D. リスク管理計画
回答を見る
正解: A
質問 #83
あなたはGHTプロジェクトのプロジェクトマネージャーです。あなたは、さらなる分析のためにデータにアクセスしています。あなたは、経営陣が自らの統制を監視するようなデータ抽出方法を選択しました。ここで使用しているデータ抽出方法は次のうちどれですか?
A. システム所有者の承認後、ソースシステムから直接データを抽出する。
B. システム所有者の承認後、システム管理者(IT)からデータを抽出する。
C. リスク登録からのデータ抽出
D. 教訓登録からのデータ抽出
回答を見る
正解: A
質問 #84
リスク認識トレーニングプログラムの主な目的はどれか。
A. リスク・ガバナンス機能に対する認識を促進する。
B. リスク管理の基本原則を明確にする。
C. リスクベースの意思決定を可能にする。
D. 十分なリソースを確保する
回答を見る
正解: A
質問 #85
組織の事業継続計画(BCP)と災害復旧計画(DRP)を中核事業のニーズに合わせるための最善の方法:
A. BCPとDRPの維持を第三者に委託する。
B. 新入社員研修の一環として、BCPとDRPの責任を含める。
C. BCPとDRPの定期的なウォークスルーの実施
D. 重要なビジネス上の変更に対するビジネスインパクト分析(BIA)の更新
回答を見る
正解: C
質問 #86
あるデータ処理センターは、新しい規制によりデータ侵害に対する罰則が大幅に強化された管轄区域で業務を行っています。この変更を反映するために更新することが最も重要なリスク登録の要素は、次のうちどれですか?
A. リスクへの影響
B. リスク動向
C. リスク選好度
D. リスクの可能性
回答を見る
正解: C
質問 #87
IT部門の再編成中に、リスク軽減アクションプランのマネジャーが交代した。新しいマネジャーは、より効果的なオプションを特定した後、新たなコントロールの実施に着手した。リスク実務者がとるべき行動として最も適切なものはどれか。
A. リスクオーナーに決定を伝え、承認を得る
B. 新しいコントロールの所有者を特定する
C. リスク登録の行動計画を修正する
D. 前回の行動計画責任者の承認を求める
回答を見る
正解: B
質問 #88
ジェフはwww.company.com Inc.でプロジェクト・マネージャーとして働いている。彼と彼のチームメンバーはリスクの特定プロセスに関与しています。ジェフがリスクの特定プロセスで使用するツールとテクニックは次のうちどれですか。(3つ選びなさい)
A. メアリーは、特定されたリスクがいつ発生し、プロジェクトのスケジュールに影響を及ぼす可能性があるかをスケジュールする。
B. メアリーは、スケジュールの定量的分析のために、スケジュール管理とスケジュールの性質を利用する。
C. メアリーは、スケジュール管理計画を用いて、残りのプロジェクト全体を通してリスク識別会議を予定する。
D. Maryは、スケジュール管理を活用し、プロジェクトスケジュールを変更するリスクをどのように許容するかを決定する。
回答を見る
正解: ABC
質問 #89
事業継続計画を策定する際の最初の課題は、次のとおりである:
A. 重要なビジネス機能とリソースを特定する
B. 代替サイトでのデータバックアップとリカバリの可用性を判断する。
C. 実施における役割と責任を明確にする。
D. 重要なビジネスアプリケーションの復旧時間目標(RTO)を特定する。
回答を見る
正解: A
質問 #90
リスク登録簿に加え、リスク実務者は組織のリスクプロファイルを理解するために何を見直すべきか?
A. アセット・プロファイル
B. 事業目標
C. コントロール・カタログ
D. 主要リスク指標(KRI)
回答を見る
正解: D
質問 #91
プロジェクト変更管理委員会は、プロジェクト計画を大幅に変更するいくつかのスコープ変更を承認しました。あなたとプロジェクトチームは、プロジェクトスコープ、WBS、WBS辞書、アクティビティリスト、プロジェクトネットワーク図の更新に取り掛かります。また、プロジェクトリスク、コミュニケーション、ベンダーの変更もあります。このようなスコープの変更に基づいて、プロジェ クトマネージャーは何を更新すべきでしょうか?
A. 取引データ
B. プロセスの完全性
C. コンフィギュレーション設定
D. システムの変更
回答を見る
正解: C
質問 #92
医療情報を扱う組織に適用される法律は、次のうちどれですか?
A. GLBA
B. HIPAA
C. SOX
D. FISMA
回答を見る
正解: B
質問 #93
あなたは企業のプロジェクトマネージャーです。あなたは侵入検知システムを導入しました。あなたは企業のセキュリティポリシー違反の警告を確認しました。侵入検知システム(IDS)とはどのような管理システムですか?
A. 探偵
B. 是正措置
C. 予防的
D. リカバリー
回答を見る
正解: A
質問 #94
リスクシナリオ表から何が判断できるのか?
A. 選択された対応策によって対処される複数のリスク要因
B. リスクマップ上の相対的位置
C. 企業の実施能力
D. リスク治療の選択肢
回答を見る
正解: A
質問 #95
リスク指標の選択において考慮されるパラメータは次のうちどれですか?正解は解答の一部を表しています。3つ選びなさい。
A. 経営陣の承認
B. 啓蒙活動の継続
C. 従業員へのコミュニケーション
D. メンテナンスとレビュー
回答を見る
正解: ABD
質問 #96
一つの資産の価値を定量化することは、組織がその価値を理解するのに役立つ:
A. リスク戦略策定の必要性。
B. リスクが顕在化する結果
C. 組織のリスク閾値
D. リスク管理の全体的な有効性
回答を見る
正解: A
質問 #97
脅威について正しいものはどれですか?3つ選びなさい。
A. 実施しなければならない情報セキュリティ管理の最低基準値
B. 情報セキュリティを確保するために完了しなければならない手順のチェックリスト
C. 情報セキュリティの範囲と方向性に関する全体的な声明
D. 技術に依存したベストプラクティスの声明
回答を見る
正解: ABD
質問 #98
企業の主要業績評価指標を選択する前の主な要件は、次のうちどれですか?
A. 企業の規模と複雑さを判断する
B. さまざまな企業プロセスに優先順位をつける
C. 企業が事業展開している市場のタイプを決定する
D. 企業は戦略的目標と経営目標を設定しなければならない
回答を見る
正解: D
質問 #99
あなたは企業のプロジェクトマネージャーです。あなたはいくつかのリスクを特定しました。リスクに対する次の対応策のうち、最も適切と思われるものはどれですか?
A. 上記のいずれか
B. 保険
C. 避ける
D. 受け入れる
回答を見る
正解: A
質問 #100
あなたは BlueWell 社のプロジェクトマネージャーとして働いています。あなたは、提案された変更要求に関連するリスクを理由に、提案された変更要求を拒否しました。拒否した変更要求はどこに文書化し、保管する必要がありますか?
A. 変更要求ログ
B. プロジェクト・アーカイブ
C. 教訓
D. プロジェクト文書の更新
回答を見る
正解: A
質問 #101
ログ分析を使って重要リスク指標(KRI)をモニタリングするための最も重要な要件はどれか。
A. ITシステム全体からログを収集する
B. 正確なログをタイムリーに提供すること
C. 自動ログ解析ツールの導入
D. 読みやすい形式でログを取得する
回答を見る
正解: A
質問 #102
組織のデータ損失防止(DLP)プログラムの有効性を示すものとして、最も適切なものはどれか。
A. データ損失インシデントに伴う財務的影響の削減
B. 偽陽性・偽陰性の減少
C. DLPポリシーの例外承認件数の減少
D. 検出されたデータ損失イベントの重大度の低減
回答を見る
正解: D
質問 #103
リスクシナリオを作成する際、最も重要なことは、そのシナリオを確実に作成することである:
A. 構造化され、報告可能
B. 柔軟でスケーラブル
C. 適切かつ現実的
D. 包括的かつ詳細
回答を見る
正解: C
質問 #104
あるリスク実務者が、組織内で一貫したリスクビューを確保するために、リスクアセスメントの方法論を伝える研修セッションを企画している。この研修で取り上げるべき最も重要なトピックはどれか。
A. リスク要因の適用
B. リスク選好度の適用
C. リスク文化の理解
D. リスクイベントデータの参照
回答を見る
正解: C
質問 #105
ある組織がテクノロジーリスクに対するリスク許容度を引き上げた。最も可能性の高い結果は
A. リスク管理コストの低減
B. 残存リスクの減少
C. リスク管理コストの上昇
D. 内在的リスクの増大
回答を見る
正解: B
質問 #106
リスク管理プロセスで最も重要な部分はどれか。
A. リスクコミュニケーション
B. 監査
C. リスク・モニタリング
D. リスクの軽減
回答を見る
正解: A
質問 #107
全従業員を対象としたセキュリティ意識向上研修の実施後、リスクを意識する風土が改善されたことを示すものとして、最も適切なものはどれか。
A. 確認されたシステム欠陥の数の増加
B. ヘルプデスク・コールの減少
C. 報告件数の増加
D. ユーザー・アクセス・リセットの回数の減少
回答を見る
正解: C
質問 #108
適切なリスク治療計画を選択する際、最も良い指針となるのはどれか?
A. 投資収益率
B. リスク軽減予算
C. 費用便益分析
D. ビジネスインパクト分析
回答を見る
正解: C
質問 #109
リスク評価で正しいのはどれか?
A. リスク評価は重大な変化があった場合にのみ行われる。
B. リスク評価は、すべてのビジネスプロセスについて年に1回行われる。
C. リスク評価は年1回または重大な変化があったときに行う。
D. 重要なビジネスプロセスについては、4~6カ月ごとにリスク評価を行う。
回答を見る
正解: C
質問 #110
ある組織が新しい財務システムの導入を計画している。次の利害関係者のうち、新しいITソリューションに関連するリスクを分析するために、最も関連性の高い情報を提供するのはどれか?
A. プロセス・オーナー
B. 内部監査人
C. リスクマネージャー
D. プロジェクト・スポンサー
回答を見る
正解: C
質問 #111
リスクシナリオを作成するための主な要件は何ですか?それぞれの正解は解答の一部を表しています。つ選んでください。
A. 契約変更管理システム
B. スコープ変更管理システム
C. コスト変更管理システム
D. スケジュール変更管理システム
回答を見る
正解: AB
質問 #112
災害の影響を予測するために、組織が実施すべきことは次のうちどれか?
A. 能力成熟度モデルのギャップを分析する。
B. 復旧時間目標(RTO)を定義する。
C. ビジネスインパクト分析(BIA)を行う。
D. 災害復旧のシミュレーションを行う
回答を見る
正解: D
質問 #113
ビジネスインパクト分析(BIA)を実施する際に使用するデータは、次のうちどれでしょうか?
A. 規制遵守のコスト
B. 事業回復のために予想される費用
C. 現事業の費用対効果分析
D. 現在の事業が将来の事業に与える影響の予測
回答を見る
正解: B
質問 #114
組織のアカウントプロビジョニングプロセスの有効性を示す最も適切な証拠はどれか。
A. ユーザープロビジョニング
B. セキュリティログ監視
C. 資格審査
D. 役割ベースのアクセス制御
回答を見る
正解: A
質問 #115
あなたはHJTプロジェクトのプロジェクトマネージャーです。プロジェクトの重要な機密ファイルはコンピュータに保存されています。このコンピュータへの不正アクセスを念頭に置き、あなたは部屋に隠しCCTVを設置しました。CCTVはどのような種類のものですか?
A. テクニカル・コントロール
B. フィジカル・コントロール
C. 行政管理
D. 経営管理
回答を見る
正解: B
質問 #116
リスクアセスメントで推奨されたリスク軽減措置を正当化する最善の方法は、以下の通りである:
A. ビジネスドライバーに焦点を当てる
B. 参考となるベストプラクティス
C. 競合他社の行動をベンチマークする
D. 監査結果との整合性
回答を見る
正解: A
質問 #117
統制に関連するコストを正当化する際に、ビジネス・コントロールのオーナーに提示すべき最善の情報とは何か?
A. ITセキュリティ関連投資収益率
B. 前年度予算と実績
C. 業界のベンチマークと基準
D. 損失の発生頻度と大きさ
回答を見る
正解: D
質問 #118
資産が完全に失われた場合のエクスポージャーの価値は?
A. 強化
B. ポジティブ
C. 機会主義的
D. 搾取
回答を見る
正解: A
質問 #119
IT統制を設計する際に、第一にインプットすべきものはどれか。
A. 内部および外部リスク報告書
B. コントロール自己評価の結果
C. 業界標準のベンチマーク
D. ITリスクの専門家からの提言
回答を見る
正解: A
質問 #120
リスクを軽減するための統制が適切かどうかを判断する際、リスク実務者が最も重視すべきものはどれか。
A. 費用便益分析
B. 感度分析
C. 残存リスクのレベル
D. リスク選好度
回答を見る
正解: D
質問 #121
全体的なITリスク管理計画の一環として、ITリスク登録簿BESTは経営に役立つ:
A. 常に最新の管理状況を把握する
B. ITプロセスをビジネス目標に合わせる
C. 組織のリスクプロファイルを理解する
D. 企業リスク管理方針の伝達
回答を見る
正解: A
質問 #122
事業継続計画(BCP)を見直すとき、最も重大な欠陥はどれか。
A. BCPはウォークスルー方式でテストされることが多い
B. BCPテストが災害復旧計画(DRP)と連動していない
C. 事業所ごとにBCPがバラバラで一貫性がない
D. 復旧時間目標(RTO)がビジネス要件を満たしていない
回答を見る
正解: B
質問 #123
組織全体の効果的なリスクマネジメントを促進する活動として、最も適切なものはどれか。
A. ビジネスインパクト分析の実施
B. 頻繁な監査の実施
C. リスク関連プロセス文書のレビュー
D. 定期的なリスク評価の実施
回答を見る
正解: A
質問 #124
災害復旧計画(DRP)の有効性を測定するための重要業績評価指標(KPI)として、最も適切なものはどれか。
A. DRPテストの結果、関連した問題の割合
B. DRPテストに参加したユーザー数
C. DRPテスト中に特定された問題の数
D. DRPテスト中にRTOを満たしたアプリケーションの割合
回答を見る
正解: D
質問 #125
ITサービス継続戦略を策定するための出発点となる、ビジネスによって準備されるものは次のうちどれですか?
A. 事業継続戦略
B. 災害関連情報のインデックス
C. 災害招致ガイドライン
D. 可用性/ ITSCM/セキュリティ試験スケジュール
回答を見る
正解: A
質問 #126
次のリスク対応のうち、適格なリスク担当者やプロジェクト内部からのフィードバックや指導を含むものはどれか。
A. 偶発的対応戦略
B. リスクの受容
C. 専門家の判断
D. リスク移転
回答を見る
正解: C
質問 #127
あなたの会社は賠償責任保険に加入しており、資産の物理的損害やハッキング攻撃など、情報セキュリティリスクに対する様々な賠償責任を補償しています。貴社は、以下のリスク管理手法のうち、どれを利用していますか?
A. 対象分野の専門家をリスク分析活動に参加させる
B. プロジェクトが利害関係者に直接影響を与えるフェーズにおいてのみ、利害関係者をリスク特定に関与させる
C. 定性的リスク分析を用いて、リスク事象の発生確率と影響を迅速に評価する。
D. 定性的リスク分析を通じて優先度の高いリスクに焦点を絞る
回答を見る
正解: A
質問 #128
あなたは BlueWell 社のプロジェクトマネージャーとして働いています。あなたは、提案された変更要求に関連するリスクを理由に、提案された変更要求を拒否しました。拒否した変更要求はどこに文書化し、保管する必要がありますか?
A. 変更要求ログ
B. プロジェクト・アーカイブ
C. 教訓
D. プロジェクト文書の更新
回答を見る
正解: A
質問 #129
ある組織が、データ集約型のビジネスプロセスの一部について、クラウドベースのサービスプロバイダとの契約を計画している。このアウトソーシング活動に関連するITリスクを定義する上で、最も重要なものはどれか。
A. サービスレベル合意
B. プロバイダーを監査する権利
C. カスタマーサービス
D. 提供するサービスの範囲
回答を見る
正解: A
質問 #130
高度に重要な情報システムに必要な統制を決定する際に、最も重要な考慮事項はどれか。
A. システムの脆弱性の数
B. 組織が許容できるリスクのレベル
C. 組織の予算
D. システムに対する脅威の数
回答を見る
正解: A
質問 #131
リスクアセスメントにより、ある組織が業界規制に準拠していない可能性があることが判明した。最善の行動方針は以下の通りである:
A. コンプライアンス要件を満たすために経営陣と協力する
B. コンプライアンス基準に対するギャップ分析を行う
C. コンプライアンスを確保するために必要な管理を特定する
D. コントロールの妥当性確認を含む内部保証活動の変更
回答を見る
正解: A
質問 #132
もし、特定のコントロールツールやモニタリングツールが持続可能だと言うのであれば、それはどのような能力を指しているのだろうか?
A. 環境に新しい要素が加わっても適応できる能力
B. コントロールが失敗したときに、そのコントロールを確実に維持する能力
C. 搾取や攻撃から自らを守る能力
D. 組織全体で同じように適用できること
回答を見る
正解: A
質問 #133
システムにおけるデータ損失の可能性が高いと判断した後、リスク実務者が次に取るべき行動はどれか。
A. 統制評価を行う。
B. 第三者からサイバー保険に加入する。
C. 事故報告の頻度を上げる。
D. セキュリティ意識向上プログラムを強化する
回答を見る
正解: A
質問 #134
企業のリスク管理能力の成熟度レベル3に関する次の記述のうち、正しいものはどれか。
A. 経営管理
B. ビジネス・プロセス・オーナー
C. 最高情報責任者(CIO)
D. チーフ・リスク・オフィサー(CRO)
回答を見る
正解: ABD
質問 #135
ジョンは会社のNHQプロジェクトのプロジェクトマネージャーである。彼のプロジェクトには75人の利害関係者がおり、その中には社外の利害関係者もいる。ジョンは、社外の利害関係者に最も適切な方法でリスクについて確実に伝える必要がある。ジョンが社外の利害関係者に伝えるのに最も適したプロジェクトマネジメントプランはどれか?
A. リスク対応計画
B. コミュニケーション・マネジメント・プラン
C. プロジェクト管理計画
D. リスク管理計画
回答を見る
正解: B
質問 #136
ある組織が、必要な規制基準を遵守している証拠を欠くサービス・プロバイダーにリース料支払プロセスをアウトソーシングした。この組織が採用したリスク処理はどれか。
A. 受諾
B. 移籍
C. 緩和
D. 回避
回答を見る
正解: A
質問 #137
従業員は、後続の従業員が立ち止まって自分のIDバッジをスワイプする必要がないように、他の従業員のためにドアを開けているのを何度も目撃している。この行動BESTは次のことを表している:
A. 脆弱性
B. コントロール
C. インパクト
D. 脅威
回答を見る
正解: A
質問 #138
主要リスク指標(KRI)を策定する際、最も重要なものはどれか。
A. 質的データの入手可能性。
B. 規制要件との整合性
C. プロパティは閾値を設定する。
D. 業界のベンチマークとの整合性。
回答を見る
正解: B
質問 #139
組織のITインシデント対応計画に関する次の問題のうち、最も大きな懸念事項はどれだろうか?
A. インシデント対応能力は外部に委託している。
B. インシデントが発生するまで、チームは活動しない。
C. すべての従業員が事故対応訓練を受講しているわけではない。
D. 役割と責任が明確に定義されていない。
回答を見る
正解: D
質問 #140
情報資産を分類することの最も重要な利点は何ですか?
A. セキュリティ要件とビジネス目標の関連付け
B. リスク所有権の配分
C. アクセス権の定義
D. 適用すべきコントロールの特定
回答を見る
正解: D
質問 #141
リスク対応戦略を見直す際、経営幹部が最も重視すべきは、以下の点である:
A. 投資ポートフォリオ
B. リスク選好度との整合性
C. 重要業績評価指標(KPI)
D. 費用便益分析
回答を見る
正解: D
質問 #142
統制を効果的に評価するために最も必要なことは何か?
A. 経営環境とコントロールの整合性
B. コントロールの設計効果
C. コントロールの目的達成
D. コントロールの有効性
回答を見る
正解: C
質問 #143
あなたは会社のGHYプロジェクトのプロジェクトマネージャーである。このプロジェクトの予算は543,000ドル、期間は18カ月を予定している。このプロジェクトで、あなたはいくつかのリスク事象を特定し、リスク対応計画を作成しました。あなたはどのプロジェクトマネジメントプロセスグループでリスク対応計画を実施しますか?
A. リスクへの対応
B. リスクの監視と管理
C. 定量的リスク評価
D. 定性的リスク評価
回答を見る
正解: A
質問 #144
アンチウイルスプログラムの効果を測定するための主要業績評価指標(KPI)として、最も適切なものはどれか。
A. アンチウイルスソフトの更新頻度
B. アンチウイルスソフトが生成したアラート数
C. 最新のマルウェア定義が適用されているIT資産の割合
D. 一定期間に検出された偽陽性の数
回答を見る
正解: C
質問 #145
継続的なリスクマネジメントプロセスの改善において、最も効果的なのはどれか。
A. ポリシーの更新
B. 定期的な評価
C. 意識向上トレーニング
D. 変更管理
回答を見る
正解: B
質問 #146
ある組織の最高技術責任者(CTO)は、サービス妨害(DoS)攻撃による潜在的な損失に関連するリスクを受け入れることを決定した。このような状況において、リスク実務者がとるべき最善の行動は次のとおりである:
A. CTOの決定を検証し、ビジネスプロセスのオーナーに望む。
B. CTOにリスク受容の決定を再検討するよう勧告する。
C. 継続的モニタリングのための主要リスク指標(KRI)を特定する。
D. 選択したリスク対応でリスク登録簿を更新する。
回答を見る
正解: A
質問 #147
単一損害予想率(SLE)、年間発生率(ARO)、年間損害予想率(ALE)について正しいものはどれか。
A. ALE= ARO/SLE
B. ARO= SLE/ALE
C. ARO= ALE*SLE
D. ALE= ARO*SLE
回答を見る
正解: D
質問 #148
リスク対応を選択する際のBEST基準は、以下の通りである:
A. リスク対応オプションの有効性
B. 業界標準への対応の整合性
C. 企業におけるITリスクの重要性
D. 対応を実施する能力
回答を見る
正解: A
質問 #149
不要なコントロールを特定する方法として、最も適切なものはどれか。
A. 監査要件に対する既存の統制の評価
B. ビジネスプロセスに関連するシステム機能のレビュー
C. 既存の主要リスク指標(KRI)のモニタリング
D. 既存のコントロールを外した場合の影響の評価
回答を見る
正解: B
質問 #150
データバックアップ手順の運用効果をテストする最良の方法は、以下の通りである:
A. 監査証跡とバックアップログの一部を検査する。
B. オフサイトに保管されているファイルの監査を実施する。
C. バックアップファイルからのリカバリーを実証する
D. 従業員と面談し、実際の手順と予想される手順を比較する
回答を見る
正解: C
質問 #151
重大な影響を及ぼすシナリオについて、リスク処理の選択肢を検討する前に評価しなければならないのはどれか。
A. 費用便益分析。
B. インデントの確率
C. リスクの大きさ
D. リスク選好度
回答を見る
正解: C
質問 #152
フレッドは、組織内の大規模プロジェクトのプロジェクトマネージャーである。フレッドはプロジェクトチームや主要な利害関係者とリスクマネジメント計画の立案を始める必要がある。フレッドはどのリスクマネジメントプロセスツールと技法を用いてリスクマネジメント計画を立てるべきか?
A. 情報収集のテクニック
B. データ収集と表現技法
C. 企画会議と分析
D. 差異と傾向分析
回答を見る
正解: C
質問 #153
次のうち、配備前にシステムが確立されたベースラインに準拠していることを保証するのに最も役立つのはどれか。
A. 継続的な監視と警告。
B. アクセス制御とアクティブロギング
C. 構成管理。
D. 脆弱性スキャン
回答を見る
正解: A
質問 #154
統制の有効性を検証する方法はどれか。
A. 故障の通知を行う機能。
B. 予防的か刑事的か。
C. その信頼性
D. 意図した目的のテスト結果。
回答を見る
正解: D
質問 #155
ある企業が、給与計算システムをSaaS(Software as a Service)アプリケーションに移行した。新しいデータプライバシー規制では、データは収集された国内でのみ処理できると規定されている。この状況に対処する際、最初に行うべきことはどれでしょうか?
A. データ保護方法を分析する
B. データの流れを理解する
C. 監査権条項を含める。
D. 強力なアクセス制御を導入する。
回答を見る
正解: B
質問 #156
あなたはブルーウェル社のプロジェクトマネージャーとして働いています。あなたのプロジェクトには、複数の利害関係者の要件に影響するいくつかのリスクがあります。プロジェクトリスクに関する情報を共有するために誰が利用できるかを定義するプロジェクトマネジメントプランはどれですか?
A. リスク管理計画
B. ステークホルダー・マネジメント戦略
C. コミュニケーション・マネジメント・プラン
D. 資源管理計画
回答を見る
正解: C
質問 #157
あなたはGHTプロジェクトのプロジェクトマネージャーです。あなたはプロジェクトにおいて、発生すればプロジェクトコストを10万ドル削減できるリスク事象を特定しました。次の記述のうち、このリスク事象を説明するのに最も適切なものはどれですか?
A. このリスクは、貯蓄を活用するために軽減されるべきである。
B. これは、プロジェクトにとっての脅威を上回る報酬が得られるため、受け入れるべきリスク事象である。
C. 潜在的な節約効果を最大限に活用するためには、このリスク事象は避けるべきである。
D. このリスクはプロジェクトにとって好機であり、利用すべきである。
回答を見る
正解: D
質問 #158
ある組織が、ハードディスクを破壊する業者を利用している。データ漏えいのリスクを減らすには、次のうちどれがBESTでしょうか?
A. ハードディスクに暗号化ポリシーを導入する。
B. ベンダーにハードディスクのデガウスを要求する。
C. 認定ベンダーを利用してハードディスクを廃棄する。
D. IT管理者に破棄の確認を求める
回答を見る
正解: D
質問 #159
監査計画策定プロセスにおいて、リスク実務家が内部監査部門に提供する最も重要なものはどれか。
A. 前回の監査で終了した管理行動計画
B. 年間リスク評価結果
C. 最新の脆弱性管理レポート
D. 一般的なリスクシナリオのリスト
回答を見る
正解: B
質問 #160
メアリーはBLBプロジェクトのプロジェクトマネージャーである。彼女はプロジェクトチームを集め、リスクを検討するよう指示した。彼女は、定量的リスク分析プロセスのインプットとして、スケジュール管理計画を盛り込みました。なぜ定量的リスク分析にスケジュール管理計画が必要なのでしょうか?
A. 抑止力
B. 探偵コントロール
C. コンペンセーション・コントロール
D. 予防的管理
回答を見る
正解: B
質問 #161
リスク登録簿を作成し、維持する主な理由は以下の通りである:
A. 特定された主要なリスク要因を考慮する。
B. 残存リスクの低い資産を確保する。
C. リスク評価方法を定義する。
D. さまざまなプロジェクトの有効性を評価する
回答を見る
正解: A
質問 #162
リスク・ガバナンス・プロセスの設定、共通のリスク・ビューの確立と維持、リスクを意識したビジネス上の意思決定、企業のリスク文化の設定に責任を負う役割の担い手は、次のうちどれですか。2つ選びなさい。
A. リスク回避
B. リスク移転
C. リスクの受容
D. リスクの軽減
回答を見る
正解: AD
質問 #163
プロジェクトリスクの最も根本的な原因はどれか?各正解は完全な解決策を表しています。2つ選んでください。
A. プロジェクト管理計画の更新
B. 組織的なプロセス資産の更新
C. 変更要求
D. プロジェクト文書の更新
回答を見る
正解: CD
質問 #164
重要リスク指標(KRI)の属性として、最も重要なものはどれか。
A. 反復可能
B. 定性的
C. 自動化
D. 定量的
回答を見る
正解: D
質問 #165
プロジェクトリスクのモニタリングとコントロールのプロセスには、4つのインプッ トがあります。次のうち、プロジェクトマネジャーがリスクのモニタリングとコントロールの準備に役立たないものはどれですか?
A. リスク登録
B. 業績情報
C. プロジェクト管理計画
D. 変更要求
回答を見る
正解: D
質問 #166
長期的なリスク動向を監視するための主要リスク指標(KRI)を選択する際に、最も重要な考慮事項はどれか。
A. トレンドを予測する能力
B. 継続的なデータの入手
C. 自動報告システムの利用可能性
D. データ集計能力
回答を見る
正解: D
質問 #167
新たな法的要件が組織に影響を及ぼす場合、規制とリスクの最新情報に含めるべき最も重要なものはどれか?
A. 推奨される主要リスク指標(KRI)の基準値。
B. 重要なビジネスプロセスの変更コスト
C. 不遵守に伴うリスク。
D. コンプライアンス違反のリスクを是正するための期間。
回答を見る
正解: C
質問 #168
リスク・エクスポージャーを上回るコントロール・コストの受け入れは、その一例である可能性が高い:
A. 企業文化の調整
B. 企業文化の不一致。
C. リスク許容度が低い。
D. リスク許容度が高い。
回答を見る
正解: C
質問 #169
リスク選好度に関する次の記述のうち、最も適切なものはどれか。
A. リスク閾値と事業目標の間の許容可能なばらつき
B. 組織が許容するリスク量
C. リスクと内部統制環境の効果的な管理
D. 目標達成に対する許容可能なばらつき
回答を見る
正解: B
質問 #170
組織のリスクプロファイルに最も関連するインプットはどれか?
A. 外部監査のリスク評価
B. 経営陣のリスク自己評価
C. 内部監査のリスク評価
D. 情報セキュリティの脆弱性評価
回答を見る
正解: A
質問 #171
ITリスクマネジメントの成果を組織目標にマッピングする際に、最も役立つツールはどれか。
A. リスクダッシュボード
B. RACIチャート
C. 情報セキュリティ・リスクマップ
D. 戦略的事業計画
回答を見る
正解: D
質問 #172
高リスクの状態を早期に警告するのに最適なものはどれか?
A. リスク評価
B. 主要リスク指標(KRI)
C. リスク登録
D. 重要業績評価指標(KPI)
回答を見る
正解: B
質問 #173
組織のリスクマネジメント成熟度レベルを測るのに最も適しているのはどれか。
A. ビジネス目標に対するITの整合性
B. 残存リスクのレベル
C. 主要リスク指標(KRI)
D. ギャップ分析の結果
回答を見る
正解: A
質問 #174
あなたはブルーウェル社でプロジェクトマネージャーとして働いています。あなたは、リスク特定プロセスの準備をしています。特定されたリスク事象を識別し、伝達するために、プロジェクトの主要な利害関係者数名に協力してもらう必要があります。また、あなたと利害関係者がリスク事象を特定するために、いくつかの文書が必要になります。次のうち、プロジェクト内のリスクを特定し、伝達するのに役立たない文書はどれですか?
A. ステークホルダー登録
B. 活動時間の見積もり
C. 活動費の見積もり
D. リスク登録
回答を見る
正解: D
質問 #175
あなたとプロジェクトチームは、プロジェクト内に存在する可能性のあるリスクを特定する。リスクの中には、発生してもプロジェクトに大きな影響を与えない小さなリスクもあります。これらの特定されたリスク事象に対して、あなたは何をすべきでしょうか?
A. これらのリスクは排除できる。
B. これらのリスクは受け入れることができる。
C. これらのリスクは、優先順位の低いリスク監視リストに追加することができる。
D. すべてのリスクには、有効で文書化されたリスク対応が必要である。
回答を見る
正解: C
質問 #176
あなたはブルーウェル社のHGTプロジェクトのプロジェクト・マネジャーです。このプロジェクトの資産価値は125,000ドルで、エクスポージャーの係数は25%です。このプロジェクトの単一損失期待値はいくらになりますか?
A. $ 125,025
B. $ 31,250
C. $ 5,000
D. $ 3,125,000
回答を見る
正解: B
質問 #177
成熟したリスクマネジメントプログラムを有する組織において、ITリスクプロファイルが最新であることを示す最も適切な証拠はどれか。
A. リスクアンケート
B. リスク登録
C. コンプライアンス・マニュアル
D. 経営陣の主張
回答を見る
正解: B
質問 #178
あなたは、組織のGHYプロジェクトのプロジェクトマネージャーです。あなたはプロジェクトチームと協力して、プロジェクトのリスクの特定を始めています。プロジェクト内のリスクを特定する準備の一環として、あなたはプロセスのための11のインプットを必要とします。次のうち、リスク特定プロセスのインプットでないものはどれですか?
A. 品質管理計画
B. ステークホルダー登録
C. コスト管理計画
D. 調達管理計画
回答を見る
正解: D
質問 #179
ベンは、所属する組織のCMHプロジェクトのプロジェクトマネージャーである。彼は、発生確率は低いが、そのリスク事象の影響によってプロジェクトと組織が多額の資金を節約できる可能性のあるリスクを特定した。ベンはローラをリスクイベントに割り当て、ポジティブなリスクイベントの確率を改善するための時間、コスト、方法を調査するよう指示する。ベンはその後、リスク事象と対応策を経営陣に伝える。ここでは、どのようなリスク対応が用いられているのでしょうか?
A. 転移
B. 強化
C. エクスプロイト
D. シェアリング
回答を見る
正解: B
質問 #180
リスクアセスメントプロセスの最重要ステップはどれか?
A. 資産の識別
B. 脅威の特定
C. 脅威源の特定
D. 脆弱性の特定
回答を見る
正解: A
質問 #181
主要リスク指標(KRI)の主な利点は、以下のとおりである:
A. 組織の脆弱性の傾向を特定する
B. 新たなリスクの継続的モニタリング
C. 組織が新たな脅威を特定するのに役立つ
D. 組織のリスクプロファイルのベンチマーク
回答を見る
正解: C
質問 #182
あなたはHFDプロジェクトのプロジェクトマネージャーです。あなたはいくつかのプロジェクトリスクを特定しました。あなたはこれらのリスクに対処するために、リスク事象の発生確率やその影響を低減しようとしない代替案を採用しました。あなたが実施した対応は次のうちどれですか?
A. 受諾
B. 緩和
C. 回避
D. 偶発的な対応
回答を見る
正解: D
質問 #183
あなたのプロジェクトには、発生すると深刻な財務的影響を引き起こす可能性のあるリスクがいくつかあります。あなたはリスク事象を調査し、リスク事象に対する潜在的なリスク対応策をいくつか作成しましたが、経営陣はそれ以上のことをあなたに求めています。経営陣は、リスクの発生確率と影響を特定し、各リスク事象の財務的な金額を記載したチャートのようなものを作成してほしいと考えています。このような図表を作成した場合、どのような結果になりそうですか?
A. リスク対応計画
B. コンティンジェンシー・リザーブ
C. リスクへの対応
D. 定量分析
回答を見る
正解: B
質問 #184
組織のリスク分類法を策定する際に、最も重要な検討事項はどれか。
A. IT戦略
B. 業界をリードするフレームワーク
C. ビジネス・コンテキスト
D. 規制要件
回答を見る
正解: C
質問 #185
システムの可用性リスクシナリオの可能性を判断する最善の方法は、そのシナリオを評価することである:
A. フォールトトレラントソフトウェアの可用性
B. 事業成長のための戦略計画
C. 重要システムの脆弱性スキャン結果
D. 技術インフラの冗長性
回答を見る
正解: D
質問 #186
ITリスクアペタイトステートメントが更新される可能性が最も高いのは、次のうちどれですか?
A. 経営幹部の交代
B. 外部監査結果
C. フォーカス・グループからのフィードバック
D. 自己評価報告書
回答を見る
正解: B
質問 #187
次の決定木ノードのうち、枝に確率が付いているものはどれか?
A. ルートノード
B. イベントノード
C. エンドノード
D. 決定ノード
回答を見る
正解: B
質問 #188
組織のセカンダリデータセンターが、重要なアプリケーションの冗長性を提供していないことを、あるリスク実務家が特定した。関連するリスクを受け入れる権限を誰が持つべきか?
A. 事業継続ディレクター
B. ビジネス・アプリケーション・オーナー
C. 災害復旧マネージャー
D. データセンター・マネージャー
回答を見る
正解: B
質問 #189
重要なシステムにおいて有効でない鍵管理が特定された場合、リスク実務者は次に何をすべきか。
A. リスクアセスメントを再検証する。
B. 上級管理職にエスカレーションする。
C. リスクの受け入れを提案する。
D. ギャップ分析を行う。
回答を見る
正解: D
質問 #190
次の資産のうち、企業の無形資産の例はどれですか?それぞれの正解は完全な解答を表しています。2つ選びなさい。
A. 監視と管理
B. リスク事象が存在するプロセスグループにおいて
C. プランニング
D. 実行
回答を見る
正解: AB
質問 #191
第三者サービスプロバイダのリスクレビューに含めるリスクシナリオを特定する際に、最も重要なものはどれか。
A. オープンベンダーの問題。
B. 購買契約
C. サプライヤー・アンケート
D. プロセスマッピング
回答を見る
正解: D
質問 #192
社内アプリケーションを開発する際に、情報セキュリティのリスク要因を確実に軽減できるのは、次のうちどれか。
A. ビジネスケースに情報セキュリティ管理仕様を含める
B. プロセスのアウトプットとして重要リスク指標(KRI)を特定する。
C. 要求分析において、情報セキュリティ管理策を特定することができる。
D. システム仕様の中で、セキュリティに関する主要業績評価指標(KPI)を設計することができる。
回答を見る
正解: C
質問 #193
リカバリータイム目標(RTO)の算出は、リカバリータイムを決定するために必要である:
A. 年間損失見込み(ALE)。
B. 修復の優先順位
C. 同期のポイント
D. ファイルの復元に要する時間
回答を見る
正解: D
質問 #194
未解決のリスク問題を企業リスクヒートマップBESTにマッピングすることで、より容易になる:
A. リスクの所有。
B. リスクの特定
C. リスクへの対応
D. コントロール・モニタリング
回答を見る
正解: B
質問 #195
次のコントロールのうち、技術的なコントロールに該当しないものはどれか?
A. プログラム管理
B. システムおよび通信保護制御
C. 識別と認証コントロール
D. アクセス制御
回答を見る
正解: A
質問 #196
リスクアセスメントの結果を経営幹部に報告する際、リスクベースの意思決定を可能にするために最も重要なものはどれか。
A. 最も高いリスクにさらされている資産のリスト
B. 治療費と比較した潜在的損失
C. 最近の監査および自己評価結果
D. リスク・アクション・プランと関連所有者
回答を見る
正解: B
質問 #197
プロジェクト中に新たなリスク事象を特定したら、プロジェクトマネジャーは次のステップに進むべきである:
A. 定量的リスク分析を続ける
B. シナリオを受け入れる必要があるか、対応する必要があるかを判断する。
C. 定性的リスク分析を続ける
D. シナリオをリスク登録簿に記録する。
回答を見る
正解: A
質問 #198
システムで発生する望ましくない事象の組み合わせを体系的に記述する技術はどれか。
A. 感度分析
B. シナリオ分析
C. フォールトツリー解析
D. 原因と結果の分析
回答を見る
正解: C
質問 #199
あなたは企業のリスク担当者である。あなたはリスク分析プロセスを完了したところです。あなたは、プロジェクトに関連するリスクレベルが企業のリスク許容度を下回っていることに気づきました。次のうち、あなたが取るべき最も可能性の高い行動はどれですか?
A. リスク対応を適用する
B. リスク登録の更新
C. 何もしない
D. リスク対応オプションの優先順位付け
回答を見る
正解: C
質問 #200
あなたは、プロジェクト・マネージャーとして、会社株式会社で働いています。あなたが担当しているプロジェクトには、複数の利害関係者の要件に影響するリスクがいくつかあります。プロジェクトリスクに関する情報を共有できる人を定義するプロジェクトマネジメントプランはどれですか?
A. 資源管理計画
B. コミュニケーション・マネジメント・プラン
C. リスク管理計画
D. ステークホルダー・マネジメント戦略
回答を見る
正解: B
質問 #201
データ抽出、検証、集計、分析にはどの段階が含まれますか?
A. リスク対応とリスクモニタリング
B. 要件収集、データアクセス、データ検証、データ分析、報告および是正処置
C. データアクセスとデータバリデーション
D. リスクの特定、リスク評価、リスク対応、リスクモニタリング
回答を見る
正解: B
質問 #202
システム導入の本稼働を推奨する際、リスク実務者にとって最も重要な考慮事項はどれか。
A. 社内リソースの利用可能性
B. システム文書の完全性
C. 計画コストと実績コストの差異
D. エンドユーザー受け入れテストの結果
回答を見る
正解: B
質問 #203
ITリスクプロファイルの傾向を把握するのに最も効果的なツールはどれか。
A. リスクダッシュボード
B. リスク登録
C. リスクの自己評価
D. リスクマップ
回答を見る
正解: D
質問 #204
主要業績評価指標(KPI)を定期的に見直す主な理由は何か?
A. トレンドを見極める
B. コントロールに必要なリソースの最適化
C. コンプライアンスの徹底
D. リスクを認識する文化を促進する
回答を見る
正解: B
質問 #205
効果的な IT セキュリティ意識向上プログラムの指標として、最も適切なものはどれか。
A. 内部フィッシング・テストの成功率の低下
B. セキュリティ研修を修了した従業員数
C. セキュリティ違反に対する懲戒処分の件数
D. セキュリティ・インシデントの報告件数の減少
回答を見る
正解: D
質問 #206
あるプロジェクトチームメンバーが、新しいプロジェクトリスクを特定した。そのリスクはプロジェクトに大きな影響を与えるが、発生確率は低い。そのリスク事象が発生すると、プロジェクトが3週間遅れることになり、プロジェクトに新たなリスクが発生する。プロジェクトマネジャーはこのリスクに対してどう対処すべきでしょうか?
A. 特定されたリスクを品質管理管理表に追加する。
B. 特定されたリスクを課題ログに追加する。
C. 特定されたリスクをリスク登録簿に追加する。
D. 特定されたリスクを低レベルリスク監視リストに追加する。
回答を見る
正解: C
質問 #207
主要リスク指標(KRI)をモニタリングする上で、最も重要なデータソースはどれか。
A. 内部情報システム監査報告書
B. 法的規制当局からの指令
C. 外部リスク要因の傾向分析
D. 異なるシステムから収集された自動ログ
回答を見る
正解: D
質問 #208
あるプロジェクトで、ハードウェアを扱う部分がある。プロジェクトマネージャーであるあなたは、そのプロジェクトのすべてのハードウェア作業を請け負う会社を雇うことにしました。これはどのタイプのリスク対応でしょうか?
A. 転移
B. 緩和
C. 回避
D. エクスプロイト
回答を見る
正解: A
質問 #209
あるリスク記録のレビュー後、内部監査から、なぜリスクが中程度から低度に引き下げられたのか質問された。この問い合わせに対応する行動として、最も適切なものはどれか。
A. 次回のリスクブリーフィングで事業者に通知する。
B. 特定のリスクに関連する業界ベンチマークを入手する。
C. 低いリスク評価の正当性を示す
D. リスク問題を再調査し、完全な査定を行う
回答を見る
正解: C
質問 #210
関連するリスクシナリオの設計に最も重要なものはどれか?
A. シナリオは、起こりうる組織の状況とリンクしている。
B. シナリオは過去の事件に基づいている。
C. シナリオはリスク管理能力に沿ったものである。
D. シナリオはインシデント管理能力にマッピングされている。
回答を見る
正解: A

送信後に回答を表示する

質問の回答を得るには、電子メールと WhatsApp を送信してください。

注: 正しい試験結果を得ることができるように、電子メール ID と WhatsApp が有効であることを確認してください。

Eメール:
WhatsApp/電話番号:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.