すべての情報を見逃したくないですか?

認定試験に合格するためのヒント

最新の試験ニュースと割引情報

当社の専門家による厳選最新情報

はい、ニュースを送ってください

CISM試験問題集&学習資料、情報セキュリティ管理者|SPOTO

弊社の包括的な学習資料と定評ある模擬試験で、ISACA CISM認定試験をマスターしましょう。当社の教材は、情報セキュリティガバナンス、リスク管理、インシデント管理、規制遵守などの重要なトピックをカバーしており、徹底した準備を保証します。試験問題や解答、サンプル問題、模擬試験など、豊富な試験準備リソースを利用して、理解を深め、自信を深めることができます。信頼できない情報源に別れを告げ、SPOTOで信頼できる試験練習を取り入れましょう。SPOTOの試験シミュレーターを利用して試験環境をシミュレートし、受験戦略を効果的に練り上げましょう。SPOTOは、あなたが試験教材やオンライン試験問題集を探しているかどうかにかかわらず、あなたが成功するために必要なツールを提供します。まずは無料試験で模擬試験の品質を体験し、試験準備を次のレベルに引き上げましょう。
他のオンライン試験を受ける

質問 #1
新しいシステムを開発する際には、詳細な情報セキュリティー機能にFIRSTが取り組むべきである:
A. プロトタイピングの一環として。
B. システム設計の段階で。
C. システム要件が定義されたとき。
D. アプリケーション開発の一環として。
回答を見る
正解: B
質問 #2
セキュリティアーキテクチャを策定するとき、最初に実行すべき手順はどれか。
A. セキュリティ手順の策定
B. セキュリティポリシーの定義
C. アクセス制御方法の指定
D. 役割と責任の明確化
回答を見る
正解: B
質問 #3
ネットワークセキュリティインシデントをできるだけ早く特定するための最も確実な方法はどれか。
A. ITインフラのイベントログを収集し、関連付ける。
B. エンドユーザーとのワークショップやトレーニングセッションを実施する。
C. ステートフルインスペクションファイアウォールをインストールする。
D. セキュリティインシデントを特定し、優先順位を付けるために、ヘルプデスクのスタッフを訓練する。
回答を見る
正解: A
質問 #4
インシデントレスポンス機能の有効性にとって最も重要なものはどれか。
A. 企業セキュリティ管理システムとフォレンジックツール。
B. 法執行機関との事前の接触
C. いつ、どのように報告するかについての全ユーザーへのトレーニング
D. 自動化されたインシデント追跡・報告ツール
回答を見る
正解: A
質問 #5
ある組織が、情報セキュリティ攻撃による損失を経験した後、事後分析を行うことにした。この分析の主な目的は以下のとおりである:
A. 刑事訴追の準備。
B. 教訓を文書化する。
C. 影響を評価する。
D. 情報セキュリティポリシーを更新する。
回答を見る
正解: C
質問 #6
あるビジネスアプリケーションを開発するために第三者を雇った。情報セキュリティマネジャーがバックドアの存在をテストするBESTはどれか。
A. ネットワーク・ポートのトラフィックを監視するシステム
B. アプリケーション全体のセキュリティコードレビュー
C. アプリケーションバイナリのリバースエンジニアリング
D. テストシステム上の高特権アカウントからアプリケーションを実行する。
回答を見る
正解: B
質問 #7
次の情報セキュリティ指標のうち、定量化が最も困難なものはどれか。
A. 防止したセキュリティ・インシデントのコスト
B. 業界のフレームワークにマッピングされたコントロールの割合
C. 従業員のセキュリティ意識の程度
D. 資産価値に対する管理コストの割合
回答を見る
正解: C
質問 #8
セキュリティ侵害にタイムリーに対応するために最も重要なものはどれか。
A. 知識の共有とコラボレーション
B. セキュリティ・イベント・ロギング
C. 役割と責任
D. 法医学的分析
回答を見る
正解: B
質問 #9
セキュリティ意識向上キャンペーンの効果を最もよく示す指標はどれか。
A. 報告されたセキュリティ・イベントの数
B. セキュリティ意識向上クラスを受講したユーザのクイズのスコア
C. セキュリティ意識向上クラスのユーザ支持率
D. コースを受講したユーザーの割合
回答を見る
正解: A
質問 #10
セキュリティプログラムの主要業績評価指標(KPI)を定義する主な目的はどれか。
A. セキュリティプログラムの有効性をベストプラクティスと比較する。
B. 規制要件を満たすように管理する。
C. セキュリティ・プログラムの効果を測定する。
D. 警備スタッフのパフォーマンスを評価する
回答を見る
正解: C
質問 #11
情報セキュリティマネジャーが、深刻と思われるリスクを分析しているが、そのリスクが組織に及ぼしうる影響を判断するための数値的な証拠が不足している。この場合、情報セキュリティマネジャーは次のことを行う:
A. 定性的な方法でリスクを評価する。
B. 定量的な方法でリスクを評価する。
C. より多くのデータを収集する時間を得るために、優先順位リストに入れた。
D. 深刻さについてより多くの証拠を収集するため、経営陣にスタッフの増員を要請する。
回答を見る
正解: A
質問 #12
インシデント対応チームが適切に準備されていることを組織が確認するための最も良い方法はどれか。
A. 組織に適した卓上演習の実施
B. 第三者フォレンジック会社によるトレーニングの提供
C. 組織と対応手順に関する複数のシナリオの文書化
D. 対応チームの業界資格の取得
回答を見る
正解: A
質問 #13
全従業員および請負業者に、その職位の機密レベルに見合った要員セキュリティ/適性要件を満たし、要員スクリーニングを受けることを義務付けることは、セキュリティの一例である:
A. ポリシー。
B. 戦略。
C. ガイドラインD
回答を見る
正解: A
質問 #14
セキュリティ侵害に効果的に対応するために最も重要なものはどれか。
A. 根本原因分析
B. 証拠収集
C. マネジメント・コミュニケーション
D. 反撃のテクニック
回答を見る
正解: A
質問 #15
インシデント対応中の効果的なコミュニケーションにとって、最も重要なものはどれか?
A. メディアや法執行機関との関係維持
B. 最新の連絡先リストの維持
C. 復旧時間目標(RTO)の設定
D. 平均解決時間(MTTR)指標の設定
回答を見る
正解: B
質問 #16
ある組織が、サーバーのバックアップテープを暖かい場所に保管している。そのテープが適切に保守され、システムクラッシュ時に使用できることを保証するために、組織が実行すべき最も適切な対策は以下のとおりである:
A. ウォームサイト施設の試験装置を使用してテープを読み取る。
B. ウォームサイトからテープを取り出し、テストする。
C. 暖かい場所に、複製機材を用意しておく。
D. 四半期ごとに施設を検査し、テープの目録を作成する。
回答を見る
正解: B
質問 #17
ビジネスインパクト分析(BIA)を実施する場合、次のうちどれが復旧時間とコストの見積もりを算出すべきでしょうか?
A. 事業継続コーディネーター
B. 情報セキュリティ管理者
C. ビジネス・プロセス・オーナー
D. 業界平均ベンチマーク
回答を見る
正解: C
質問 #18
サーバーが攻撃を受けた後、取るべき行動として最も適切なものはどれか。
A. セキュリティ監査の実施
B. 脆弱性評価の見直し
C. システムを隔離する
D. インシデント対応を開始する
回答を見る
正解: D
質問 #19
従業員がスパムメールやチェーンメールを転送する事故を減らす方法として、最も適切なものはどれか。
A. 利用規定
B. メールボックスの上限を低く設定するC
C. D
回答を見る
正解: C
質問 #20
セキュリティ専門部署を持たない組織の管理スタッフが、IT マネージャを使用してセキュリ ティレビューを実施することを決定した。この配置における主な職務要件は、IT マネージャが以下のとおりである。
A. 他部門のリスクを報告する。
B. 他部門からのサポートを得る。
C. 重大なセキュリティリスクを報告する。
D. セキュリティ標準の知識を持っている。
回答を見る
正解: C
質問 #21
インシデント対応チームのメンバーに対する訓練カリキュラムの主な焦点は、次のとおりである:
A. 特定の役割に関するトレーニング
B. 社外向けコーポレート・コミュニケーション
C. セキュリティ意識
D. 技術トレーニング
回答を見る
正解: A
質問 #22
新しく採用された情報セキュリティマネジャーが、セキュリティコンプライアンスに関して最も懸念すべきことはどれか。
A. リスク評価の欠如
B. 標準作業手順の欠如
C. セキュリティ監査の欠如
D. 経営陣のサポート不足
回答を見る
正解: D
質問 #23
外部セキュリティ監査により、管理上の不適合が複数報告された。情報セキュリティマネジャーが上級管理職に伝えるべき内容として、最も重要なものはどれか。
A. 根本原因分析に基づく管理オーナーの対応
B. コンプライアンス違反が組織のリスクプロファイルに与える影響
C. 改善活動を開始するための説明責任報告書
D. コンプライアンス違反によるリスクを軽減するための計画
回答を見る
正解: B
質問 #24
ある組織が、新しい顧客関係管理(CRM)システムを導入しました。CRMデータへのアクセスを許可し、管理する責任は誰にあるでしょうか?
A. データ所有者
B. 内部IT監査
C. データ管理者
D. 情報セキュリティ管理者
回答を見る
正解: D
質問 #25
データセンターのITアーキテクチャを監査しているとき、情報セキュリティマネジャーが、データ通信に必要な暗号化が実装されていないことを発見した。次に行うべきことはどれか。
A. 代償・軽減策の評価
B. 費用便益分析を行う。
C. ビジネスインパクト分析(BIA)を実施する。
D. 調査結果を文書化し、報告する。
回答を見る
正解: C
質問 #26
スタッフのセキュリティ意識を向上させるMOS Tの費用対効果の高い手段とは?
A. 従業員の金銭的インセンティブ
B. ユーザー教育とトレーニング
C. ゼロ・トレランス・セキュリティ・ポリシー
D. セキュリティ違反の報告
回答を見る
正解: B
質問 #27
インシデント対応計画のテストにおいて、最も重要な結果はどれか。
A. スタッフは現在の脅威について教育を受けている。
B. 上級管理職向けの行動計画がある。
C. 投資が必要な分野が特定される。
D. 内部手続きの改善。
回答を見る
正解: D
質問 #28
情報セキュリティマネジャーが、新しく雇用された特権ユーザが、ワークステーションで重要な情報を保護するために必要な措置をとっていないことを発見した。この状況に対処する最善の方法はどれか。
A. 責任を伝え、適切な訓練を行う。
B. 受諾可能な使用ポリシーを公表し、署名入りの同意を求める。
C. ロギングをオンにして、ユーザーのアクティビティを記録する。
D. データ損失防止(DLP)ソリューションを導入する。
回答を見る
正解: A
質問 #29
あるグローバルな組織が、インシデント対応チーム(IRT)を立ち上げようとしている。この組織は、すべてのインシデントについて本部に情報を提供し、広範囲に分散したイベントに対して統一された対応を提示できるようにしたいと考えています。これらの目的を最もよくサポートするIRTモデルはどれか。
A. ホリスティックIRT
B. セントラルIRT
C. IRTの調整
D. 分散IRT
回答を見る
正解: B
質問 #30
情報セキュリティマネジャーが、インシデント対応計画の証拠保全手順を策定している。その手順に関連する要件に関するガイダンスとして、最も適切なものはどれか。
A. IT管理
B. 法律顧問
C. 経営幹部
D. データ所有者
回答を見る
正解: D
質問 #31
IDおよびアクセス管理ソリューションを導入する際、情報セキュリティ上の懸念が最も大きいのはどれか。
A. 人事方針の遵守
B. 複数のユーザーリポジトリのサポート
C. レガシー・アプリケーションのサポート
D. エンドユーザーの受け入れ
回答を見る
正解: C
質問 #32
暗号化とは対照的に、ステガノグラフィ技術を使ったメッセージ送信の利点は、次のようなものだ:
A. メッセージの存在が不明。
B. 必要なキーサイズが小さくなる。
C. トラフィックはスニッフィングできない。
D. データの信頼性はトランジット中の方が高い。
回答を見る
正解: A
質問 #33
侵入テストを実施する外部企業と契約する主な目的はどれか。
A. 技術的リスクを軽減する
B. ネットワーク・セキュリティの独立認証
C. セキュリティ・エクスポージャーの独立した見解を得る。
D. 脆弱性の完全なリストを特定する
回答を見る
正解: C
質問 #34
ある役員が業務で使用している個人用モバイルデバイスの紛失が報告された。情報セキュリティマネジャーは、以下に基づいて対応する必要がある:
A. モバイル機器の設定。
B. 資産管理ガイドライン
C. ビジネスインパクト分析(BIA)。
D. 事件の分類
回答を見る
正解: D
質問 #35
情報セキュリティ管理者が変更管理プロセスに関与する最も重要な理由は、以下のことを確実にすることである:
A. セキュリティ管理は定期的に更新される。
B. 潜在的な脆弱性を特定する。
C. リスクは評価されている。
D. セキュリティ管理は技術の変化を促進する。
回答を見る
正解: D
質問 #36
組織内でのフィッシング攻撃に対する最善の防御策は、次のとおりである:
A. 電子メールのフィルタリング
B. 侵入防御システム(IPS)。
C. ファイアウォールルールの強化
D. 侵入検知システム(IDS)。
回答を見る
正解: A
質問 #37
サイバー犯罪から得られた情報セキュリティ証拠の証拠能力を確保するために、情報セキュリティ管理者が最も留意すべきことはどれか。
A. チェーン・オブ・カストディ
B. 証拠分析に使用するツール
C. フォレンジック業者
D. 科学捜査チームの効率性
回答を見る
正解: A
質問 #38
ある組織が複数の顧客企業の給与計算と会計システムを管理している。次の契約条項のうち、災害復旧用ホットサイトの潜在的な弱点を示すものはどれか。
A. ホットサイトの独占使用は6週間以内(申告後)。
B. 申告のタイムスタンプにより、施設へのアクセスの優先順位が決定される。
C. 作業エリアの広さは限られているが、近隣のオフィススペースで補うことができる。
D. サーバーは災害時に提供される(フロアにはない)。
回答を見る
正解: D
質問 #39
ITサービスプロバイダーが提供する設備でセキュリティ上の弱点が検出された場合、情報セキュリティマネジャーが最初に実施しなければならない作業はどれか。
A. サービスプロバイダーのセキュリティポリシーの遵守状況を評価する。
B. サービス提供者に対策を助言する。
C. サービス提供者の契約上の義務を確認する。
D. 関連するセキュリティポリシーと基準を再確認する。
回答を見る
正解: A
質問 #40
情報セキュリティプログラムが企業の要求事項に合致していることを示す最も適切な指標はどれか。
A. セキュリティ戦略は、類似の組織とベンチマークを行う。
B. 情報セキュリティ管理者は、最高経営責任者に報告する。
C. セキュリティ戦略の目標は、ビジネス用語で定義される。
D. ITガバナンス委員会が設置されている。
回答を見る
正解: C
質問 #41
情報セキュリティ管理者にとって、インシデント調査の一環として「スラック・スペース」に価値があるのはなぜか?
A. 隠されたデータが保存されている可能性がある
B. slackスペースにはログイン情報が含まれている
C. スラックスペースは暗号化されている
D. 調査のためのフレキシブルなスペースを提供する
回答を見る
正解: A
質問 #42
ある情報セキュリティマネジャーが、さまざまなセキュリティ管理について複数の例外を観察した。情報セキュリティマネジャーが最初にとるべき行動はどれか。
A. 取締役会にコンプライアンス違反を報告する。
B. 例外の影響を各リスクオーナーに知らせる
C. 例外に対する緩和策を設計する。
D. リスクに優先順位をつけ、治療法を実施する。
回答を見る
正解: D
質問 #43
情報セキュリティプログラムのパフォーマンスを正確に測定する指標は、次のうちどれでしょうか。
A. 特定され、監視され、対処された主要リスク指標(KRI)の数。
B. 意思決定を可能にする定性的・定量的傾向の組み合わせ
C. C
D. セキュリティの例外を正確に測定する定性的指標のコレクション
回答を見る
正解: A
質問 #44
組織全体で情報セキュリティの責任を定義する最も良い方法はどれか。
A. ガイドライン
B. トレーニング
C. 規格
D. 方針
回答を見る
正解: D
質問 #45
上層部は、従業員が仮想プライベート・ネットワーク(VPN)接続を使用してオフサイトで作業することを承認した。情報セキュリティ管理者が定期的に行うことが最も重要である:
A. 費用対効果分析を行う
B. ファイアウォールの設定を見直す
C. セキュリティ・ポリシーを見直す
D. リスクアセスメントの実施
回答を見る
正解: C
質問 #46
インシデント対応手順の最初のステップとなるべきものはどれか。
A. 事象を重大性とタイプに応じて分類する。
B. 追加の技術支援が必要かどうかを確認する。
C. リスクアセスメントを実施し、ビジネスへの影響を判断する。
D. 制御障害の原因を評価する。
回答を見る
正解: C
質問 #47
侵害されたコンピュータの隔離と封じ込め対策が取られ、情報セキュリティ管理者が現在調査中である。最も適切な次のステップは何ですか?
A. マシンでフォレンジックツールを実行し、証拠を収集する。
B. マシンを再起動してリモート接続を切断する
C. システム全体のメモリーのコピーを作成する。
D. 現在の接続と開いているTCP/I'DP(Transmission Control Protocol/User Datagram Protocol)ポートを記録する。
回答を見る
正解: C
質問 #48
インシデントの分類方法を開発する場合、分類は必ず行わなければならない:
A. 定量的に定義されている。
B. 定期的に見直しを行う。
C. 状況に特化している。
D. 事故処理担当者に割り当てられた。
回答を見る
正解: A
質問 #49
ある従業員が、社外のクラウドストレージサービスを使用して、会社のポリシーに反する企業情報を第三者であるコンサルタントと共有していることが判明しました。情報セキュリティマネジャーが最初にとるべき行動は、次のうちどれでしょうか?
A. 情報の分類レベルを決定する。
B. 従業員にビジネス上の正当性を求める。
C. クラウドストレージサービスへのアクセスをブロックする。
D. 上層部にセキュリティ侵害を知らせる。
回答を見る
正解: A
質問 #50
モノのインターネット(IoT)デバイスのセキュリティを確保する上で、最も困難な側面はどれか。
A. IoTアーキテクチャに関するスタッフのトレーニング
B. IoTデバイスを含むポリシーの更新
C. IoTアーキテクチャの多様性を管理する
D. IoTベンダーの評判の評価
回答を見る
正解: C
質問 #51
監査により、従業員が会社の電子メールシステムにアクセスするために私物のモ バイルデバイスを使用した結果、機密データが漏えいしていることが判明しました。情報セキュリティマネジャーが最初に取るべき行動は以下のとおりです:
A. 状況をセキュリティインシデントとして扱い、適切な対応を決定する。
B. さらなる損失を食い止めるために、データ漏洩防止ツールを導入する。
C. さらなる調査のため、ネットワーク上のモバイル・デバイスを隔離する。
D. 状況を新たなリスクとして扱い、セキュリティリスク登録簿を更新する。
回答を見る
正解: A
質問 #52
次のうち、新興技術を保護する際に最も懸念されるのはどれか?
A. 企業ハード化基準の適用
B. 既存のアクセス制御との統合
C. 未知の脆弱性
D. レガシーシステムとの互換性
回答を見る
正解: C
質問 #53
ある組織が、エクストラネットインフラストラクチャを通じて、サプライチェーンパートナーと顧客に情報を提供している。ファイアウォールセキュリティアーキテクチャをレビューするIS監査人が最も懸念すべきはどれか。
A. SSL(Secure Sockets Layer)は、ユーザー認証とファイアウォールのリモート管理のために実装されています。
B. ファイアウォールのポリシーは、変化する要件に基づいて更新されます。
C. トラフィックの種類と接続が特別に許可されていない限り、インバウンド・トラフィックはブロックされる。
D. ファイアウォールは、すべてのインストールオプションを備えた商用オペレーティングシステムの上に配置されます。
回答を見る
正解: D
質問 #54
確認された複数のインシデントを同時に処理する場合、最初に行うべきことはどれですか?
A. 事業継続計画(BCP)を発動する。
B. ビジネス影響評価を更新する。
C. 上級管理職に知らせる。
D. 影響を受けた資産の価値によってインシデントを分類する。
回答を見る
正解: D
質問 #55
セキュリティインシデントの管理を成功させるために最も貢献するのはどれか。
A. 確立された手順
B. 確立されたポリシー
C. テストされたコントロール
D. 現在の技術
回答を見る
正解: B
質問 #56
情報セキュリティガバナンスフレームワークを確立する際に、最も重要な考慮事項はどれか。
A. セキュリティ運営委員会は、少なくとも毎月開催される。
B. セキュリティ運営委員会のメンバは、情報セキュリティの訓練を受けている。
C. 事業部門マネジメントの承認を得る。
D. 経営陣の支援が得られる。
回答を見る
正解: D
質問 #57
IaaS(Infrastructure as a Service)を利用する際に、最も重要なセキュリティ上の考慮事項はどれですか?
A. バックアップとリカバリ戦略
B. 社内基準の遵守
C. ユーザーアクセス管理
D. テナント間のセグメンテーション
回答を見る
正解: D
質問 #58
組織の機密顧客データを保管するサービス・プロバイダーが、そのデータ・センターで情報漏えいを起こした場合、情報セキュリティ・マネジャーはまず何をすべきか?
A. プロバイダーのデータセンターを監査する。
B. 業務委託契約の解除を勧告する。
C. 違反に対処するための是正措置を適用する。
D. 侵害の影響を判断する。
回答を見る
正解: D
質問 #59
重要な電子メールが不正に閲覧された疑いがある。電子メール管理者は調査を行ったが、インシデントに関連する情報は戻ってこず、漏えいが続いている。上層部に推奨される行動として、最も適切なものはどれか。
A. 組織のスタッフに対するセキュリティ研修を開始する。
B. 独立したレビューを手配する。
C. 電子メールアプリケーションを再構築する。
D. 機密メールの配信を制限する。
回答を見る
正解: B
質問 #60
最近のセキュリティインシデントの影響を受けた部門の責任者が、インシデントを解決するために取られた措置を知らないことに懸念を表明した。この問題に対処する最善の方法はどれか。
A. インシデント対応計画におけるインシデントの識別をより確実にする。
B. インシデント対応計画における役割の定義について話し合う。
C. インシデント対応計画の経営者の承認を求める。
D. インシデント対応計画を組織全体に周知する。
回答を見る
正解: B
質問 #61
業界で初めて発生したセキュリティの脅威を知ったとき、情報セキュリティ管理者はまずどのような行動をとるべきか。
A. 関連する情報セキュリティポリシーを更新する。
B. 組織環境のコントロール・ギャップ分析を行う。
C. 組織のインシデント対応計画を改訂する。
D. 同様の脅威にさらされた被害者の反応を調べる。
回答を見る
正解: B
質問 #62
IT インフラストラクチャセキュリティ対策の回復力を判断するために最も役立つ指標はどれか。
A. 災害復旧テスト成功回数
B. 未解決の高リスク監査課題の割合
C. システムソフトウェアの更新頻度
D. 混乱につながったインシデントの数
回答を見る
正解: D
質問 #63
アプリケーション開発部門の責任者は、最近の評価で特定されたリスクを受け入れることを決定した。推奨事項が規制監督によって要求されているにもかかわらず、推奨事項が実施されない。情報セキュリティマネジャーは次に何をすべきか?
A. 決定を正式に文書化する。
B. リスクモニタリング計画を見直す。
C. リスクの再評価を行う。
D. 勧告を実行する。
回答を見る
正解: A
質問 #64
災害復旧イベントのためのコールドサイトは、企業が置かれた状況で最も役立つ:
A. 補償予算は限られている。
B. は、特注品でなければならない専門性の高い機器を使用している。
C. はコールドサイトに近接している。
D. 通信接続を必要としない
回答を見る
正解: A
質問 #65
情報セキュリティポリシーに記載する内容として、最も適切なものはどれか。
A. 規制遵守を維持するための情報セキュリティ管理一式
B. 経営者が望むセキュリティプログラムの成果を達成するための戦略
C. 各システムが満たすべき最低限のセキュリティレベルの定義
D. 情報セキュリティの目標を支持する経営者の意思表明
回答を見る
正解: B
質問 #66
十分に文書化され、テストされたインシデント対応計画を策定する最も重要な理由は、以下のとおりである:
A. チェーン・オブ・カストディの手順を標準化する。
B. エスカレーションプロセスを促進する
C. 連携した取り組みを推進する。
D. 対外コミュニケーションの概要
回答を見る
正解: C
質問 #67
ある組織で情報漏えいが発生し、問題解決に成功した。業界の規制に基づき、情報漏えいを外部に報告する必要がある。情報セキュリティ管理者は次に何をすべきでしょうか?
A. インシデント対応計画を参照する。
B. 関係者全員に違反通知を送る。
C. 取締役会に連絡する。
D. 企業広報計画を発動する。
回答を見る
正解: D
質問 #68
ある侵入テストが認定された第三者によって実施された。情報セキュリティマネジャーが最初にとるべき行動はどれか。
A. 発見された脆弱性が許容される期間内に解決されることを確認する。
B. 上位の脆弱性を解決するために必要な資金を要求する。
C. 上級管理職に調査結果を報告する。
D. 調査結果を評価するためにリスクアセスメントを確実に実施する。
回答を見る
正解: D
質問 #69
組織の情報セキュリティ戦略に最も大きな影響を与えるのはどれか。
A. 組織のリスク許容度
B. 組織構造
C. 情報セキュリティ意識
D. 業界のセキュリティ基準
回答を見る
正解: A
質問 #70
情報セキュリティの取り組みとイニシアティブが企業戦略を継続的にサポートするための最善の方法は、以下のとおりである:
A. 情報セキュリティ運営委員会にCIOを含める。
B. 業界のベストプラクティスとのベンチマーキングの実施
C. 情報セキュリティ指標を組織の指標に含める
D. 情報セキュリティ・プログラムの定期的な内部監査の実施
回答を見る
正解: C
質問 #71
多くのビジネスプロセスをアウトソーシングしている組織が、提供されるサービスのセキュリティが十分に確保されていることを保証する方法として、最も適切なものはどれか。
A. サービスプロバイダの情報セキュリティ方針と手順を確認する。
B. サービスプロバイダの IT システムの脆弱性評価を定期的に実施する。
C. サービスプロバイダの該当する管理について定期的な監査を実施する。
D. サービスプロバイダスタッフに情報セキュリティ意識向上トレーニングを提供する。
回答を見る
正解: B
質問 #72
情報セキュリティインシデントの重大度階層を設定する際に考慮すべき最も重要な要因はどれか。
A. 規制遵守
B. ビジネスへの影響
C. 経営支援
D. 残存リスク
回答を見る
正解: B
質問 #73
ある組織の情報セキュリティマネジャーは、同様の組織がスピアフィッシング攻撃の影響を受けやすくなっていることを知りました。この懸念に対処する最善の方法は何か?
A. 電子メールのデータ損失防止(DLP)ルールを更新する。
B. 脅威を特定するためのヒントを意識向上トレーニングに含める。
C. 脅威のビジネスインパクト分析(BIA)を実施する。
D. スタッフが必ず読み、署名しなければならない新しいセキュリティポリシーを作成する。
回答を見る
正解: B
質問 #74
情報セキュリティガバナンスフレームワークを確立する主な目的はどれか。
A. セキュリティリスクを最小限に抑えるために
B. セキュリティ目標に積極的に取り組む
C. セキュリティ監査の問題を軽減する
D. 事業継続計画の強化
回答を見る
正解: A
質問 #75
画像ファイルを装った添付ファイルを使用する新しい電子メールウイルスが、インターネット上で急速に広がっています。この脅威に対処するために、最初に実行すべきことはどれか。
A. ファイルサーバーに保存されているすべての画像ファイルを隔離する。
B. 画像ファイルを添付したメールをすべてブロックする。
C. インターネットに接続しているすべてのメールサーバを隔離する。
D. インターネットメールの着信はブロックするが、送信は許可する。
回答を見る
正解: B
質問 #76
ある組織が、第三者請負業者の従業員による機密データ漏洩を検出しました。この問題に対処するための最善の方法は何でしょうか?
A. 組織のインシデント対応計画を起動する
B. 外部委託契約にセキュリティ要件を盛り込む
C. 第三者請負業者との契約を解除する。
D. 第三者請負業者へのアクセスを制限する。
回答を見る
正解: A
質問 #77
ウェブベースのアプリケーションのセキュリティを監視する場合、最も頻繁にレビューされるのはどれですか?
A. アクセスログ
B. 監査報告書
C. アクセスリスト
D. 脅威メトリクス
回答を見る
正解: A
質問 #78
ある組織が、本番データをクラウド環境に保存することを決定しました。最初に考慮すべきことは何でしょうか?
A. データのバックアップ
B. データ転送
C. データの分類
D. データの分離
回答を見る
正解: D
質問 #79
セキュリティ・インフラ設計の第一の目標は、以下のとおりである:
A. セキュリティ・インシデントの削減。
B. 企業資産の保護
C. リスク・エクスポージャーの排除。
D. ITリソースの最適化
回答を見る
正解: B
質問 #80
コンピュータ・インシデント対応チーム(CIRT)のマニュアルには、主に次のどの文書を含めるべきか?
A. リスク評価結果
B. 重症度基準
C. 緊急通報ツリー・ディレクトリ
D. 重要なバックアップファイルの表
回答を見る
正解: B
質問 #81
セキュリティ・インシデントが発生した場合、情報セキュリティ・マネジャーは何を第一の目標とすべきか?
A. 脅威を封じ込め、タイムリーに業務を復旧させる。
B. 通常業務が中断されないようにする。
C. 侵害の発生源と、それがどのように行われたかを特定する。
D. 業務管理の有効性の欠如を特定する。
回答を見る
正解: A
質問 #82
セキュリティインシデントを完全に終結させるための最も重要な基準はどれか。
A. 潜在的影響のレベル
B. 原因分析と教訓
C. 影響を受ける資源の特定
D. 文書化と上級管理職への報告
回答を見る
正解: B
質問 #83
組織の重要なシステムが侵害された後、セキュリティ管理者が最初に優先すべきことはどれか。
A. 再発防止のための改善を実施する。
B. 侵害されたシステムを復元する。
C. 事故関連データを保存する。
D. システムを侵害したマルウェアを特定する。
回答を見る
正解: C

送信後に回答を表示する

質問の回答を得るには、電子メールと WhatsApp を送信してください。

注: 正しい試験結果を得ることができるように、電子メール ID と WhatsApp が有効であることを確認してください。

Eメール:
WhatsApp/電話番号: