すべての情報を見逃したくないですか?

認定試験に合格するためのヒント

最新の試験ニュースと割引情報

当社の専門家による厳選最新情報

はい、ニュースを送ってください

模擬試験でCISA試験に合格しよう 2024年最新版 公認情報システム監査人|SPOTO

2024年のCISA試験に合格したいですか?SPOTOは、あなたが公認情報システム監査人(CISA)になるための最新の模擬試験とリソースを提供します。模擬試験は実際の試験環境をシミュレートし、時間制限のある条件下で試験問題やサンプル問題で練習することができます。この実践的な経験は、試験形式に慣れ、解答のスピード、正確さ、自信を向上させ、さらに学習すべき分野を特定するのに役立ちます。模擬試験、試験用ダンプ、試験シミュレータなどのSPOTOの試験教材にアクセスして、試験への準備態勢を強化しましょう。模擬試験を活用して試験戦略を練り、自分の強みと弱みを見極め、CISA試験に合格する可能性を最大限に高めましょう。

他のオンライン試験を受ける
質問 #1
ネットワークのパフォーマンスを低下させる可能性があるのは、次のうちどれですか?
A. 冗長なロードシェアリングゲートウェイの余計な使用
B. ホストの輻輳によるトラフィックの衝突を、新しい衝突ドメインを作ることで増加させる。
C. スイッチなどのネットワーク機器の非効率的で無駄な使用
D. ハブなどのネットワーク機器の非効率的で無駄な使用
回答を見る
正解: C
質問 #2
ビジネスプロセス・リエンジニアリング(BPR)プロジェクトの結果、最も可能性が高いのはどれか。
A. テクノロジーを利用する人の増加
B. 情報技術の複雑さの軽減による大幅なコスト削減
C. 組織構造の弱体化と説明責任の低下
D. 情報保護(IP)リスクの増大により、以下のことが増加する。
回答を見る
正解: D
質問 #3
フィールドにゼロや空白ではなくデータが含まれているかどうかを判断するために使用されるデータ検証編集チェックのタイプは、次のうちどれですか?
A. チェックデジット
B. 存在チェック
C. 完全性チェック
D. 合理性チェック
回答を見る
正解: B
質問 #4
機能要件が十分に定義されていない場合、プロジェクトのスコープクリープはどのような結果を招くのだろうか?
A. 不十分なソフトウェア・ベースライン
B. 不十分な戦略計画
C. 不正確な資源配分
D. プロジェクトの遅延
回答を見る
正解: B
質問 #5
ネットワーク環境は、プログラム間通信の複雑さを増し、アプリケーション・システムの実装と保守を難しくすることが多い。真か偽か?
A. その通り
B. 偽
回答を見る
正解: D
質問 #6
事業継続における次の用語のうち、時間で測定したデータ損失の最大許容量を決定するものはどれか。
A. RPO
B. RTO
C. WRT
D. MTD
回答を見る
正解: D
質問 #7
ネットワーク性能に関する次の用語のうち、情報の受信側におけるパケットの到着時間のばらつきを指すものはどれか。
A. 帯域幅
B. スループット
C. 遅延
D. ジッター
回答を見る
正解: C
質問 #8
IS監査人が内部統制のコンプライアンス・テストを実施する可能性が最も高いのは、統制の初期評価の結果、統制リスクが許容範囲内であると結論付けた場合である。真か偽か?
A. その通り
B. 偽
回答を見る
正解: B
質問 #9
IS戦略監査を実施する場合、IS監査人は、短期(1年)及び長期(3~5年)のIS戦略をレビューし、適切な企業経営者にインタビューを行い、外部環境が考慮されていることを確認する必要がある。監査人は、IS戦略の監査において、特に手続に重点を置くべきである。真か偽か?
A. その通り
B. 偽
回答を見る
正解: B
質問 #10
次のバックアップ方式のうち、記憶媒体が限られている場合の最良の選択肢はどれですか?
A. 仮想バックアップ
B. リアルタイム・バックアップ
C. 差分バックアップ
D. フルバックアップ
回答を見る
正解: A
質問 #11
TCP/IPモデルにおけるデバイスとその位置づけについて、次の記述のうち誤っているものはどれか。
A. レイヤ4スイッチは、TCP/IPモデルのネットワーク・インターフェイス層で動作する。
B. ルーターはTCP/IPモデルのネットワーク・インターフェース層で動作する。
C. レイヤ3スイッチは、TCP/IPモデルのネットワーク・インターフェイス層で動作する。
D. ハブはTCP/IPモデルのLANまたはWANインターフェイス層で動作します。
回答を見る
正解: A
質問 #12
最近の監査で、ある組織の情報セキュリティシステムは脆弱であり、監視しても侵入を検知できない可能性が高いと結論づけられた。最も適切な勧告はどれか。
A. 新たな犯罪行為や機密データへの攻撃を継続的に探す。
B. セキュリティーと機密データの取り扱いに関する明確な方針を確立する。
C. システムを強化しながら機密データを暗号化する
D. 不要になった機密データを特定し、定期的に削除する。
回答を見る
正解: A
質問 #13
ある組織が、サブプロセスの一部をサービス・プロバイダーにアウトソーシングしている。そのプロバイダーに対する監査計画を策定する際、組織の内部監査人はFIRSTを実施しなければならない:
A. プロバイダーの業務管理を評価する。
B. 監査目的をプロバイダーと協議する。
C. プロバイダーの内部監査報告書のレビュー
D. プロバイダーとの契約を見直す
回答を見る
正解: B
質問 #14
ファイアウォールを設定する際の最良のアクセス戦略は、以下の通りである:
A. すべての人にアクセスを許可し、行動を記録する。
B. すべてのアクセスを拒否するが、選択したアクセスは許可する。
C. すべてのアクセスを許可するが、選択したアクセスは拒否する。
D. 許可されたプログラム以外へのアクセスを拒否する。
回答を見る
正解: C
質問 #15
ある組織のウェブサーバーへの攻撃が成功した後、最初に行うべき行動はどれか?
A. バウンダリ設定ルールを見直して、アウトバウンドパケットが次のように制限されていることを確認します。
B. 侵入検知システムの評価と導入
C. よく知られた脆弱性のあるシステムをネットワーク上で定期的にスキャンする。
D. 暗号チェックサムツールを使用した参照システムの確立
回答を見る
正解: B
質問 #16
ある製造会社が、請求書支払いシステムの自動化を望んでいる。目的は、レビューと承認に要する時間を大幅に短縮し、フォローアップが必要なエラーを特定できるシステムにすることである。これらの目的を満たすのに最も適しているものはどれか?
A. クライアント・サーバーとサプライヤーとの相互ネットワーク・システムを構築し、効率化を図る。
B. 自動支払および売掛金/請求書処理を専門とする企業に機能をアウトソーシングする。
C. 主要サプライヤーとの間で、コンピュータ間で、標準フォーマットによる電子ビジネス文書および電子取引のEDIシステムを確立する。
D. 既存処理のリエンジニアリングと既存システムの再設計
回答を見る
正解: B
質問 #17
事故後のレビューでは、行動の順序と相関関係を第一に分析しなければならない:
A. 関係者へのインタビュー
B. 統合イベントのタイムライン
C. 関係するシステムのログ
D. 事件中に作成された文書
回答を見る
正解: C
質問 #18
OSIモデルの次のレイヤーのうち、適切な媒体やキャリア上でビットストリームを電気信号、光信号、無線信号として送受信するのはどれか?
A. トランスポート層
B. ネットワーク層
C. データリンク層
D. 物理層
回答を見る
正解: C
質問 #19
アプリケーションソフトウェアパッケージを導入する際、最もリスクが高いのはどれか?
A. 管理されていない複数のソフトウェアバージョン
B. オブジェクトコードと同期していないソースプログラム
C. パラメータの設定が正しくない
D. プログラミングエラー。
回答を見る
正解: B
質問 #20
ネットワーク上の中央データベースにさまざまなリソースに関する情報を保存し、ネットワーク機器がサービスを見つけられるようにするネットワークサービスは、次のうちどれか。
A. DHCP
B. DNS
C. ディレクトリサービス
D. ネットワーク管理
回答を見る
正解: D
質問 #21
情報セキュリティプログラムが有効であることを示す最も適切なものはどれか。
A. 意識向上トレーニングの実施後、報告・確認されたセキュリティインシデントの件数が増加した。
B. セキュリティ意識向上プログラムは、業界のベストプラクティスに従って開発された。
C. セキュリティチームは、組織のリスク選好度を理解するためにリスクアセスメントを実施した。
D. セキュリティチームは知識が豊富で、利用可能な最良のツールを使用している。
回答を見る
正解: C
質問 #22
本番システムの変更管理監査中に、IS監査人は変更管理プロセスが正式に文書化されておらず、一部の移行手順が失敗していることを発見した。IS監査人は次に何をすべきでしょうか?
A. 変更管理プロセスの再設計を推奨する。
B. 根本原因分析を通じて、調査結果をより確実なものにする。
C. 変更プロセスが文書化されるまで、プログラムの移行を停止するよう勧告する。
D. 発見事項を文書化し、経営陣に提示する。
回答を見る
正解: B
質問 #23
緊急事態対応チームのメンバーはこうあるべきだ:
A. 複数の部門から選出
B. 各事故発生時に割り当てられた
C. IT担当者に限定
D. CISOによって任命される
回答を見る
正解: B
質問 #24
コールバックデバイスを使用する利点は、次のうちどれですか?
A. 監査証跡の提供
B. 配電盤環境で使用可能
C. 無制限のユーザー移動の許可
D. 着信転送を許可する
回答を見る
正解: C
質問 #25
ある組織は、個人を特定できる情報(PII)の国境を越えたデータ転送を制限する新しい規制が最近発表された管轄区域内にある。この変更に関連して評価する必要がある可能性が最も高いIT上の意思決定は、次のうちどれでしょうか?
A. 外部のクラウドサービスプロバイダーで給与計算システムをホスティングする。
B. 海外保険会社のサイバー保険への加入
C. PII データをホストするデータベースへの暗号化の適用
D. 海外からITコンサルタントを雇う
回答を見る
正解: C
質問 #26
IS監査人がデータベースのログ設定を確認していて、INSERTとDELETE操作だけがデータベースで監視されていることに気づきました。最も重大なリスクは何ですか?
A. メタデータは記録されない
B. 新しく追加された記録は記録されないことがある。
C. パージされた記録は記録されない。
D. 既存の記録への変更は記録されない。
回答を見る
正解: D
質問 #27
他の従業員に不適切な画像を送信したという告発を否認している従業員が解雇されました。証拠とするために、解雇された従業員のコンピュータのメール・データベースが必要です:
A. 組織がさらなる法的責任を負う可能性があるため、削除した。
B. ディスクドライブを物理的に取り外して押収する。
C. サーバーにバックアップされ、アクセスが厳しく制限される。
D. コンピューターのOSツールを使って、ライトワンス、リードマニーメディアにコピーした。
回答を見る
正解: B
質問 #28
ISマネジメントが、組織の活動が計画または期待されたレベルと異なるかどうかを判断するプロセスは何か?
A. 事業インパクト評価
B. リスク評価
C. ISの評価方法
D. 主要業績評価指標(KPI)
回答を見る
正解: A
質問 #29
TCP/IPモデルのアプリケーション層のプロトコル・データ・ユニット(PDU)はどれか。
A. データ
B. セグメント
C. パケット
D. フレーム
回答を見る
正解: C
質問 #30
オンライン監査技術として統合テスト施設(ITF)を使用する主な利点は、それが可能になることである:
A. 費用対効果の高いアプリケーション統制監査のアプローチ
B. 不正取引を調査する監査役
C. 監査員が本番データに影響を与えることなくテストできる。
D. 財務テストと監査テストの統合
回答を見る
正解: C
質問 #31
セキュリティインシデントの検知の有効性を高める最も良い方法はどれか。
A. 事故の種類に基づく封じ込め活動の決定
B. 適切なフォレンジックサービスプロバイダーとのサービスレベル合意(SLA)の確立
C. 不審な行動を特定するためのエンドユーザー教育
D. 根本原因分析手順の文書化
回答を見る
正解: B
質問 #32
IS監査を実施する際、最も懸念されるのはどれか。
A. ユーザーがデータベースを直接修正する能力
B. ユーザーがデータベースにクエリを送信する機能
C. データベースを間接的に変更するユーザーの能力
D. ユーザーがデータベースを直接閲覧する機能
回答を見る
正解: D
質問 #33
各データセグメントの末尾に計算ビットを付加することによって伝送エラーを検出する制御は、aとして知られている:
A. 合理性チェック。
B. パリティチェック。
C. 冗長性チェック
D. 桁数をチェックする。
回答を見る
正解: D
質問 #34
テスト環境と開発環境は分けるべきだ。真か偽か?
A. その通り
B. 偽
回答を見る
正解: C
質問 #35
次のうち、最も環境に優しいとされる消火方法はどれか?
A. ハロンガス
B. 避難スプリンクラー
C. 乾式スプリンクラー
D. 湿式スプリンクラー
回答を見る
正解: A
質問 #36
組織のセキュリティインシデント対応手順を受審するIS監査人が最も懸念するのはどれか。
A. 機能的インシデント対応演習の代わりに、年1回の卓上演習を実施する。
B. コンピュータ緊急対応チーム(CERT)メンバーの役割は、正式に文書化されていない。
C. インシデントの優先順位付けのガイドラインは特定されていない。
D. ワークステーションのウイルス対策ソフトウェアの警告が定期的に見直されていない。
回答を見る
正解: D
質問 #37
つの組織が、新しい企業資源管理(ERM)システムの所有権を共有する。このシステムの導入を成功させるためには、次のことを定義することが最も重要である:
A. データへのアクセス
B. ガバナンス・モデル
C. 資産の適切な手続き IS 監査人が、リソースの制約により、データベース管理者(DBA)が本番環境への変更の開発と実行を担当していることを発見した。監査人が最初に行うべきことはどれですか?
D.
A. 代償となる管理が存在するかどうかを特定する。
E. B
F. C
G. D
回答を見る
正解: D
質問 #38
インシデント管理手順が効果的であることを最も確実にする監査手法はどれか。
A. インシデントが分類され、対処されているかどうかの判断
B. 包括的な脆弱性スキャンと侵入テストの実施
C. インシデント管理手順をベストプラクティスと比較する
D. エンドユーザー満足度調査結果の評価
回答を見る
正解: B
質問 #39
テストデータでサニタイズされたライブトランザクションを使用する利点は、次のとおりである:
A. すべての取引タイプが含まれる。
B. あらゆるエラー条件がテストされる可能性がある。
C. 結果を評価するために特別なルーチンは必要ない。
D. テストトランザクションはライブ処理を代表するものである。
回答を見る
正解: C
質問 #40
終了時のインタビューにおいて、指摘事項の影響に関して意見の相違がある場合、IS監査人は次のことを行うべきである:
A. 受審者に、全責任を負うことを承諾する免責同意書に署名するよう求める。
B. 発見事項の重要性と、それを是正しない場合のリスクについて詳しく説明する。
C. 不一致を監査委員会に報告し、解決を求める。
D. 受審者がプロセスオーナーであるため、受審者の立場を受け入れる。
回答を見る
正解: B
質問 #41
情報セキュリティに対する上級管理職のコミットメントが組織内で欠如していることを最も強く示すものはどれか。
A. 情報セキュリティポリシーの一貫性のない実施
B. 情報セキュリティ投資の削減
C. 情報セキュリティリスクの受容度
D. 情報セキュリティ管理者は、最高リスク責任者に報告する。
回答を見る
正解: A
質問 #42
プログラマが稼動中のシステムに更新アクセスできる場合、IS監査人は、プログラマのトランザクション承認能力よりも、プログラマがトランザクションを開始または変更する能力、および本番システムにアクセスする能力の方を重視する。真か偽か?
A. その通り
B. 偽
回答を見る
正解: B
質問 #43
大規模データセンターで最もコスト削減が可能なのはどれか。
A. サーバー統合
B. スタッフのローテーション
C. パワー・コンディショニング
D. ジョブスケジューリングソフト
回答を見る
正解: C
質問 #44
IS監査人が、組織のインシデント対応チームが犯罪行為に関与する可能性のあるデバイスをどのように取り扱うかを確認する際に、最も重要な判断材料はどれか。
A. 悪意のあるアプリケーションのチェックの有無
B. デバイスを押収する前にアクセスログをチェックするかどうか。
C. 利用者が自分のデバイスが検査されていることを知っているかどうか
D. デバイスのチェーン・オブ・カストディの有無
回答を見る
正解: D
質問 #45
データウェアハウスを導入する際のリスクとして、最も大きいものはどれか。
A. 本番システムの応答時間の増加
B. データの改ざんを防ぐのに十分でないアクセス制御
C. データの重複
D. 更新されていないデータ
回答を見る
正解: B
質問 #46
コンプライアンス活動の不必要な重複を減らすためのアプローチとして、最も適切なものはどれか。
A. 保証努力の統合
B. 制御の自動化
C. コンプライアンス要件の標準化
D. 管理手順の文書化
回答を見る
正解: C
質問 #47
統制自己評価(CSA)プログラムの主な目的は何ですか?
A. 監査責任の強化
B. 監査責任の排除
C. 監査責任の代替
D. 監査責任の完全性
回答を見る
正解: C
質問 #48
システム管理者は、アプリケーションやシステムのパッチの影響をいつ最初に評価すべきでしょうか?
A. 設置後5営業日以内
B. 設置前
C. 設置後5営業日以内
D. 設置直後
回答を見る
正解: C
質問 #49
個人情報保護プログラムの開発と設計を評価するとき、IS監査人が最も考慮すべきことはどれか。
A. データガバナンスとデータ分類手順
B. プライバシーガイドラインに沿った方針と手順
C. 業界慣行と規制遵守ガイダンス
D. 情報セキュリティとインシデント管理の実践
回答を見る
正解: C
質問 #50
ISセキュリティポリシーの策定について、誰が最終的な責任を負うのか。
A. 取締役会
B. 中間管理職
C. セキュリティ管理者
D. ネットワーク管理者
回答を見る
正解: A
質問 #51
コードの変更は、開発者によってコンパイルされ、変更フォルダに置かれます。実装チームは、変更フォルダから本番環境に変更を移行します。移行プロセスにおいて職務の分離が行われていることを示すBESTはどれですか?
A. 変更が本番環境にリリースされる前に、もう一人の担当者がコードレビューを行う。
B. 変更フォルダに移動する前に、開発者が変更を承認する。
C. 実装チームにコードを書いた経験がない。実装チームはソースコードを変更するアクセス権を持っていない。組織のネットワークセキュリティ手順と管理の有効性を評価する場合、最初にレビューすべきはどれか。
D.
A. データ復旧能力
E. B
F. C
G. D
回答を見る
正解: B
質問 #52
ブルートフォースアタックに対する防御として最も有効なものはどれか。
A. 裁量的アクセス制御
B. 侵入者検知ロックアウト
C. 強制アクセス制御
D. 時間帯制限
回答を見る
正解: A
質問 #53
ある組織のデータ分類ポリシーをISが監査したところ、ポリシーの一部が新しいデータプライバシー規制に対応していないことが判明しました。コンプライアンス違反のリスクに対処するために、経営陣はまず何をすべきか?
A. プライバシー影響評価を実施し、ギャップを特定する。
B. 改訂された情報分類ラベルに基づいて情報を再分類する。
C. 新しい個人情報保護規制に関する研修の義務付け
D. すべての個人データを特定するために、データディスカバリーエクササイズを実施する。
回答を見る
正解: A
質問 #54
統計的なサンプリング手順を使用することで、最小限に抑えることができる:
A. 検出リスク
B. 事業リスク
C. コントロール・リスク
D. コンプライアンス・リスク
回答を見る
正解: C
質問 #55
実施後のレビューにおいて、IS監査人が最も留意すべきことはどれか。
A. システムに保守計画がない
B. このシステムにはいくつかの小さな欠陥がある。
C. システムは15%の予算超過
D. システムの配備が3週間遅れた
回答を見る
正解: A
質問 #56
あるIS監査人が、あるアプリケーションのシステムログに記録されたアクセスのサンプルを分析している。監査人は、1つでも例外が見つかった場合、集中的な調査を開始するつもりである。どのサンプリング方法が適切か。
A. ディスカバリーサンプリング
B. 変数サンプリング
C. 層別サンプリング
D. 判定サンプリング
回答を見る
正解: C
質問 #57
ある病院の重要なサーバーがランサムウェアによって暗号化された。病院はこのサーバーなしでは効果的に機能できない。病院が身代金の支払いを回避するために、最も効果的な方法はどれか。
A. 継続的なサーバーの複製プロセス
B. オフラインバックアップシステム
C. プロパティが設定されたファイアウォール
D. ランサムウェアに関する従業員研修
A. 規制の厳しい業界における情報セキュリティプロジェクトのビジネスケースに含めるべき情報で、最も重要なものはどれか。
E.
A. 業界比較分析
F. B
G. C
D. セキュリティ・インシデントの報告件数
回答を見る
正解: D
質問 #58
プライバシー公開に関連するVoIP(Voice-over Internet Protocol)の脅威として最も大きいものはどれか?
A. 誤ったルーティング
B. 盗聴
C. 通話録音
D. サービス拒否
回答を見る
正解: C
質問 #59
アプリケーション・プログラムの制御を検証するのに最も適切な監査技法はどれか。
A. 統計的サンプリング
B. コードレビュー
C. 勘定科目の確認
D. テストデータの使用
回答を見る
正解: D
質問 #60
IaaS(Infrastructure as a Service)を利用する際に、最も重要なセキュリティ上の考慮事項はどれですか?
A. ユーザーアクセス管理
B. 社内基準の遵守
C. ゲストのセグメンテーション
D. バックアップとリカバリ戦略
回答を見る
正解: D
質問 #61
TCP/IPモデルのネットワーク・インターフェース層で動作しないプロトコルはどれか?
A. ICMP
B. DNS
C. ARP
D. インターネットプロトコル
回答を見る
正解: B
質問 #62
ある組織の経営幹部が、従業員に販売促進目的でソーシャルメディアを利用するよう奨励している。この戦略をサポートするために、情報セキュリティマネジャーが最初に着手すべきことはどれか。
A. データ損失防止ソリューションのビジネスケースを作成する。
B. ソーシャルメディアの使用に関するガイドラインを作成する。
回答を見る
正解: A
質問 #63
一元化されたタイムサーバーの主な利点は、次のとおりである:
A. クライアント・アプリケーションによる個別の時間帯別リクエストを削減する。
B. パスワード同期プログラムによって必要とされる
C. 分散化されたログを同期させることができる。
D. 回復不可能なシステム障害が発生する可能性を減少させる。
回答を見る
正解: B
質問 #64
あるIS監査人が、銀行のセカンダリデータセンターをホストするサードパーティプロバイダとのサービスレベル契約(SLA)をレビューしています。次の発見事項のうち、監査人が最も懸念すべきものはどれですか?
A. 復旧時点目標(RPO)の期間が、災害復旧計画に記載されている期間よりも短い。
B. 復旧時間目標(RTO)の期間が災害復旧計画に記載されている期間よりも長い。
C. バックアップ・データはオンライン・ホストのみ
D. SLAは1年以上見直されていない。
回答を見る
正解: B
質問 #65
クラウド技術環境において、セキュリティ・インシデントの調査に最も大きな困難をもたらすのはどれか。
A. データの暗号化
B. ハードウェアへのアクセス
C. 圧縮された顧客データ
D. 非標準イベントログ
回答を見る
正解: B
質問 #66
ホスト名からIPアドレス、IPアドレスからホスト名に変換する分散データベースは、次のうちどのサービスですか?
A. DNS
B. FTP
C. SSH
D. SMTP
回答を見る
正解: D
質問 #67
次の記述のうち、回線交換技術を説明しているものはどれか。
A. パケットは同じ宛先に到達するために、多くの異なるダイナミック・パスを使用する。
B. コネクション指向の仮想リンク
C. 固定遅延
D. トラフィックは予測可能な一定の方法で移動する。
回答を見る
正解: B
質問 #68
秘密鍵が漏洩した場合、認証局(CA)の最も重要な役割は何か。
A. ユーザーに新しい秘密鍵を発行する。
B. 証明書発行サーバーの鍵情報データベースを更新する。
C. 証明書失効リスト(CRL)をリポジトリに公開する。
D. 証明書のメタデータを更新する。
回答を見る
正解: D
質問 #69
ある組織が、トランザクション量の多い複雑なシステムで、ベンダーの支払いが重複していることを懸念している。ベンダーの支払いに重複があるかどうかを判断するために、IS監査人に最も役立つのはどれか。
A. コンピューター支援技術
B. ストップ・アンド・ゴー試験
C. 統計的サンプリング
D. 判定サンプリング
回答を見る
正解: A
質問 #70
プログラムに対する変更や修正の影響に関する正確な結論を得るために、また、それらの変更や修正が新たなエラーを引き起こしていないことを確認するために、回帰テストでは何を用いるべきか。
A. 偽装データ
B. 独自に作成されたデータ
C. ライブデータ
D. 過去のテストデータ
回答を見る
正解: D
質問 #71
ある組織が、収益性向上のために事業体を分割する戦略的決定を下した。しかし、ITインフラストラクチャは事業体間で共有したままである。IS監査が年次計画の一環としてIT環境の主要なリスク領域を引き続きカバーするために、次のうちどれが最も有効か。
A. 各事業体に対するリスクベースのIS監査頻度の増加
B. 分割後に導入されたIT変更に焦点を当てたIS監査計画の見直し
C. 新しく導入されたITポリシーと手順の監査の実施
D. 各企業のビジネスプロセスを考慮したリスクベースの計画を策定する D
E.
A. すべての機密データの暗号化を推奨する。
F. B
G. C
D. データ損失事故の有無を問い合わせる。
回答を見る
正解: B
質問 #72
重要なレガシーシステムを新システムに移行する際、最も大きなリスクとなるのはどれか?
A. アジャイル開発手法の使用
B. 段階的アプローチ
C. ダイレクト・カットオーバー・アプローチ
D. 並列システムの保守
回答を見る
正解: C
質問 #73
組織のネットワーク内部の不正を検知するための最も効果的なコントロールは、以下の通りである:
A. 侵入検知システム(IDS)を導入する。
B. 二要素認証を適用する
C. アクセスログの確認
D. 職務の分離
回答を見る
正解: C
質問 #74
ある組織が高度持続的脅威(APT)攻撃を受け、深刻な影響を受けた。その後、最初の侵害は攻撃の1カ月前に起きていたことが判明した。経営陣が最も懸念すべきことは、以下の通りである:
A. 過去の内部侵入テストの結果
B. モニタリングプロセスの有効性 説明/参照
C. 重要なセキュリティパッチのインストール
D. 外部ファイアウォール・ポリシー
回答を見る
正解: B
質問 #75
次のアウトソーシングサービスのうち、セキュリティ監視の必要性が最も高いのはどれか。
A. ウェブサイトのホスティング
B. アプリケーション開発
C. 仮想プライベート・ネットワーク(VPN)サービス
D. 企業インフラ
回答を見る
正解: D
質問 #76
最後のシステムイメージの前にバックアップされた情報からデータベースをリストアする場合、次のうちどれが推奨されますか?
A. 最後のトランザクションの後、システムを再起動する必要があります。
B. 最後のトランザクションの前にシステムを再起動すべきである。
C. 最初のトランザクションでシステムを再起動する必要があります。
D. 最後のトランザクションでシステムを再起動する必要があります。
回答を見る
正解: A
質問 #77
効果的なデータ・プライバシー・プログラムの欠如に関連する最も大きなリスクは、次のうちどれですか?
A. 不正取引を防止しなかった場合
B. 個人データや機密データへのアクセスを管理できない。
C. 顧客の信頼を得られない
D. データ関連規制の不遵守
回答を見る
正解: D
質問 #78
あるIT部門が、ネットワークパフォーマンスの問題のトラブルシューティングのために、ベンダーに内部ネットワークへのリモートアクセスを許可した。ファイアウォールのログレビューでリモートアクセスを発見した後、情報セキュリティマネジャーが取るべき行動として最も適切なものはどれか。
A. アクセスを取り消す。
B. 関連するサービスレベル合意書(SLA)を確認する。
C. 付与されるアクセスレベルを決定する。
D. セキュリティインシデントを宣言する。
回答を見る
正解: B
質問 #79
重要な情報システムの評価は、数年間更新されていない周期的な監査計画に基づいている。この状況に対処するために、IS監査人が推奨すべき最善の方法はどれか。
A. すべてのシステムをカバーするために、監査計画の回転セットを使用する。
B. 定期審査の遅延や延期を考慮し、四半期ごとに監査計画を更新する。
C. ビジネスリスクに照らした監査計画の定期的な検証
D. 監査計画の一部として、定期的なレビューを詳細に含めない。
回答を見る
正解: C
質問 #80
新システムのリスク分析が行われている。次のうち、ビジネスの知識がITの知識よりも重要なものはどれですか?
A. 脆弱性分析
B. 費用便益分析
C. 影響分析
D. バランススコアカード
回答を見る
正解: D
質問 #81
売掛金取引の処理中に、顧客口座番号フィールドのデータ入力エラーを検出する可能性が最も高いアプリケーション入力管理はどれか。
A. 妥当性チェック
B. 合理性チェック
C. パリティチェック
D. リミットチェック
回答を見る
正解: C
質問 #82
ある組織のIT部門が、物理サーバの設置面積を削減するために大規模な仮想化プロジェクトに取り組んでいる。情報セキュリティ管理者が最も優先すべきはどれか。
A. インシデントの管理方法の決定
B. 仮想化ソフトウェアの選択
C. プロジェクトの設計段階から関わる
D. プロジェクトが適切な安全保障資金を確保すること
回答を見る
正解: C
質問 #83
情報セキュリティマネジャーが、インシデント対応計画の証拠保全手順を策定している。その手順に関連する要件に関するガイダンスとして、最も適切なものはどれか。
A. IT管理
B. 経営幹部
C. 法律顧問
D. データ所有者
回答を見る
正解: C
質問 #84
顧客行動に基づいて広告のターゲットを絞る新しいマーケティング・プラットフォームを計画する際、組織が完了すべき最も重要なものはどれか。
A. データプライバシー影響評価
B. データ品質評価
C. 国境を越えたデータ移転の評価
D. セキュリティ脆弱性評価
回答を見る
正解: A
質問 #85
次のうち、混乱が発生した後に、組織が必要不可欠な業務を継続する能力を検証する最も効果的な方法はどれか?分析:
A. エンド・ツー・エンドのリカバリーフロー
B. 回復時点目標(RPO)
C. コールの木
D. ビジネスインパクト分析(BIA)
回答を見る
正解: C
質問 #86
IS監査中に、組織の仮想サーバーファーム間でセキュリティ構成が異なることが発見された。統制環境を改善するためのIS監査人の推奨事項として、最も適切なものはどれか。
A. 各サーバーのセキュリティ構成について、独立したレビューを実施する。
B. 仮想サーバのセキュリティ構成ベースラインを実装する
C. 高リスクの仮想サーバに対するセキュリティ監視制御の実装
D. 仮想サーバーファーム全体で標準的なパッチ管理のレビューを実施する
回答を見る
正解: B
質問 #87
ディスク管理システムの主な機能は以下の通りである:
A. 分析レビューのためにディスクアクセスを監視する。
B. ディスク常駐データファイルへのアクセスを拒否する
C. 効率的なディスク使用に関するデータを提供する
D. ディスクの使用量を制御する方法を提供する。
回答を見る
正解: A
質問 #88
イントラネットを通じて新しいワームが侵入した場合、組織が最も危険にさらされるのは次のような場合である:
A. 実行可能コードがファイアウォールの内側から実行される。
B. システムソフトウェアが完全性チェックを受けない。
C. ホストは固定IPアドレスを持つ
D. デスクトップのウイルス定義ファイルが最新でない。
回答を見る
正解: C
質問 #89
セキュリティ・インシデント管理のレビューを実施した際、IS監査人が、定義されたエスカレーション・プロセスが存在しないことを発見した。すべてのインシデントはサービスデスクが管理している。監査人の主な関心事はどれか。
A. サービスデスクのリソースの非効率的利用
B. 経営陣によるインパクトの大きいインシデントの欠如
C. 優先度の低いトラブル・チケットの解決の遅れ
D. インシデント解決のフォローアップができない経営陣
回答を見る
正解: B
質問 #90
上層部は、従業員が仮想プライベート・ネットワーク(VPN)接続を使用してオフサイトで作業することを承認した。情報セキュリティ管理者が定期的に行うことが最も重要である:
A. ファイアウォールの設定を見直す
B. セキュリティ・ポリシーを見直す
C. 費用対効果分析を行う
D. リスクアセスメントの実施
回答を見る
正解: B
質問 #91
ある IT 管理グループが、標準化されたセキュリティ管理チェックリストを作成し、 各組織単位の管理自己評価者に配布した。このアプローチにおいて、最も大きなリスクはどれか。
A. フィードバックが遅れると被ばくが増える可能性がある
B. 時間の経過とともに、チェックリストは古くなる可能性がある。
C. 評価者が結果を操作する可能性
D. ビジネス特有の脆弱性が見落とされる可能性がある
回答を見る
正解: C
質問 #92
サードパーティのサービスプロバイダが情報セキュリティ要件と期待事項を理解していることを組織が確認するための最も効果的な方法はどれか。
A. 第三者要員への情報セキュリティトレーニングの提供
B. 第三者プロバイダーのサービス提供の監査
C. 契約における情報セキュリティ条項の導入
D. 第三者への守秘義務契約の義務付け
回答を見る
正解: D
質問 #93
数年前から、あるベンダーが銀行のためにオフサイト・バックアップ・メディアと 記録保管を提供している。このベンダーは、銀行の従業員と顔なじみであるため、メディアを取り出す際に、一貫して従業員からの承認書を要求していません。この状況によるリスクで最も大きいものはどれですか?
A. 銀行の従業員が機密記録を不適切に入手する可能性
B. バックアップテープが利用できない場合がある
C. チェーン・オブ・カストディの検証不能
D. ベンダーが従業員に誤ったメディアを提供している。
回答を見る
正解: D
質問 #94
あるIS監査人が、ある組織のネットワーク脆弱性スキャン結果をレビューしている。スキャンの結果は、次のどのプロセスに反映される可能性が最も高いですか?
A. ファイアウォールのメンテナンス
B. パッチ管理
C. インシデント対応
D. 交通管理
回答を見る
正解: A
質問 #95
ユーザーが個人所有のデバイスにモバイルデバイス管理(MDM)ソフトウェアをインストールすることを義務付けるポリシーが設定されました。このポリシーの不遵守によって生じるリスクを軽減するのに最適なものはどれか。
A. 警告の発行とコンプライアンス違反の文書化
B. モバイルデバイスからのリモートアクセスを無効にする
C. 会社設定のモバイル機器の発行
D. 利用者に利用規約への署名を求める。
回答を見る
正解: B
質問 #96
上級管理職が会社の機密情報にアクセスするためにスマートフォンを使用する場合、実施すべき管理として最も重要なものはどれか。
A. 仮想プライベートネットワーク(VPN)接続の義務化
B. デバイスの集中管理
C. 強力なパスワード
D. デバイスのマルウェア対策
回答を見る
正解: D
質問 #97
情報セキュリティ機能をサポートする上で、組織のデータ管理者の最も重要な役割は何ですか?
A. データセキュリティ技術ベンダーの評価
B. 承認セキュリティポリシーの適用
C. 部門データへのアクセス権の承認
D. 組織のデータセキュリティリスクの評価
回答を見る
正解: A
質問 #98
次のうち、ディスク障害後の処理再開が最も早い組織はどれか。
A. サーバーの負荷分散
B. ミラーリング
C. バックアップサーバーのオープンデータベース接続(ODBC)
D. 複製
回答を見る
正解: D
質問 #99
効果的な情報セキュリティ戦略を策定する上で、最も重要な推進要因はどれか。
A. セキュリティ監査報告書
B. ベンチマークレポート
回答を見る
正解: D
質問 #100
情報セキュリティリスクの評価と管理に経営陣が関与することの最大の利点は、経営陣が情報セキュリティリスクの評価と管理に関与できることである:
A. セキュリティ・アーキテクチャをよりよく理解する
B. 組織のリスクをよりよく理解する
C. 技術リスクとビジネスリスクのバランスを取ることができる
D. セキュリティ管理よりも客観的である
回答を見る
正解: A

送信後に回答を表示する

質問の回答を得るには、電子メールと WhatsApp を送信してください。

注: 正しい試験結果を得ることができるように、電子メール ID と WhatsApp が有効であることを確認してください。

Eメール:
WhatsApp/電話番号:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.