すべての情報を見逃したくないですか?

認定試験に合格するためのヒント

最新の試験ニュースと割引情報

当社の専門家による厳選最新情報

はい、ニュースを送ってください

CISM試験問題集&模擬試験、情報セキュリティ管理者試験に合格|SPOTO

SPOTOの模擬試験と試験準備リソースの包括的なコレクションで、CISM認定試験を成功させましょう。当社の専門家が作成した教材は、情報セキュリティガバナンス、リスク管理、インシデント管理、規制遵守など、すべての重要なトピックをカバーしています。サンプル問題や模擬試験を含む幅広い試験準備ツールにアクセスして、知識とスキルを強化しましょう。信頼できない情報源に別れを告げ、SPOTOで信頼できる試験練習を取り入れましょう。試験シミュレーターを活用して試験環境をシミュレートし、受験戦略を効果的に磨きましょう。SPOTOは、あなたが試験資料やオンライン試験問題を求めているかどうかにかかわらず、成功のために不可欠なリソースを提供します。弊社の無料試験で準備を始めて、Certified Information Security Manager試験に合格するための準備を万全にしましょう。
他のオンライン試験を受ける
質問 #1
情報セキュリティマネジャーが、最近のビジネス変化に起因する新たな情報セ キュリティリスクに対処するための戦略を策定した。この戦略を経営幹部に提示する際に、最も重要な内容はどれでしょうか。
A. ビジネス・プロセスの変更に伴うコスト
B. 同業他社とのベンチマーク結果
C. 組織の変化がセキュリティリスクプロファイルに与える影響
D. リスク軽減に必要なセキュリティ管理
回答を見る
正解: C
質問 #2
組織におけるデータ管理者のセキュリティ責任には以下が含まれる:
A. 情報資産の保護全般を担う。
B. データ分類レベルの決定
C. 導入する製品にセキュリティ管理策を導入する。
D. セキュリティ対策がポリシーに合致していることを確認する。
回答を見る
正解: D
質問 #3
内部セキュリティ攻撃から組織を守るのに最適なものはどれか。
A. 静的IPアドレス指定
B. 内部アドレス変換
C. 従業員の身元調査
D. 従業員意識認証プログラム
回答を見る
正解: C
質問 #4
IT資産の評価は、以下の方法で行うべきである:
A. ITセキュリティマネージャー。
B. 独立系のセキュリティ・コンサルタント。
C. 最高財務責任者(CFO)。
D. 情報所有者
回答を見る
正解: D
質問 #5
ある組織がインターネットと同じDMZに直接接続された2つのファイアウォールを持つ最良の理由は、次のようなものだろう:
A. 徹底した守備を提供する。
B. テストと生産を分ける。
C. トラフィックの負荷分散を許可する。
D. サービス拒否攻撃を防ぐ。
回答を見る
正解: C
質問 #6
セキュリティをシステム開発ライフサイクル(SDLC)プロセスに統合するために、組織は、セキュリティを確実にしなければならない:
A. はコンフィギュレーションコントロールボードに表されている。
B. パフォーマンス・メトリクスは満たされている。
C. 役割と責任が定義されている。
D. 博士号取得は主要な段階を修了するための前提条件である。
回答を見る
正解: D
質問 #7
ある情報セキュリティマネジャーが、あるセキュリティイニシアチ ブへの支持を得るためのプレゼンを準備している。この取り組みに対する経営陣のコミットメントを得るための最も良い方法は、次のうちどれでしょうか。
A. 報告された事故の履歴データを含む
B. 投資収益率の見積もり
C. 現在のリスク・エクスポージャーの分析
D. 業界ベンチマーク比較を含む
回答を見る
正解: A
質問 #8
次の脆弱性のうち、外部ハッカーが企業ネットワークにアクセスするリスクが最も高いものはどれですか?
A. 不要なサービスを実行している内部ホスト
B. 不十分なロギング
C. 内部データベースに対する過度の管理者権限
D. ワークステーションにパッチが適用されていない
回答を見る
正解: D
質問 #9
個人データの国際的な流通に関する要件を満たすセキュリティ管理者は、以下のことを保証する必要がある:
A. データ処理契約。
B. データ保護登録
C. データ主体の同意。
D. 対象者へのアクセス手続き
回答を見る
正解: C
質問 #10
ある情報セキュリティマネジャーが、昨年1年間にわたり、複数の第三者ベンダーに対す るリスクアセスメントを実施した。各ベンダーに適用される関連するリスクレベルを判断する上で、次の基準のうちどれが最も役立つでしょうか。
A. 各ベンダーの対応する違反行為
B. 情報セキュリティを保護するために実施されている補償的統制
C. 規制に関連する遵守事項
D. 組織にとってのサービスの重要性
回答を見る
正解: B
質問 #11
成功する情報セキュリティマネジメントプログラムは、次のうちどれを使用して、エクスポージャの軽減に割くリソースの量を決定すべきか。
A. リスク分析結果
B. 監査報告書の指摘事項
C. 侵入テストの結果
D. 利用可能なIT予算額
回答を見る
正解: A
質問 #12
情報セキュリティ戦略の策定において、最も重要なインプットはどれか。
A. IT 目標に対するセキュリティパフォーマンスの測定
B. 情報セキュリティギャップ分析の結果
C. 有能な情報セキュリティ資源の利用可能性
D. 技術リスク評価の結果
回答を見る
正解: B
質問 #13
より効率的なインシデント報告プロセスを可能にするBESTはどれか?
A. 社外とのコミュニケーションのための経営幹部研修
B. エスカレーション手順に関するインシデント対応チームの教育
C. コンプライアンス要件に関するITチームの教育
D. 異常事象を特定するためのエンドユーザーのトレーニング
回答を見る
正解: D
質問 #14
ある情報セキュリティ管理者が、企業ネットワークへの外部からの侵入を発見しました。最初に取るべき行動はどれか。
A. トレースログをオンにする。
B. イベントログを別のサーバーにコピーする。
C. ネットワークの影響を受ける部分を隔離する。
D. ネットワークをシャットダウンする。
回答を見る
正解: C
質問 #15
侵入検知システムを設置すべきである:
A. ファイアウォールの外側。
B. ファイアウォール・サーバー上
C. スクリーニングされたサブネット上
D. 外部ルーター
回答を見る
正解: C
質問 #16
本番ネットワークにおけるハッキングの試みから保護するために、最も役立つのはどれか。
A. 侵入防御システム(IPS)
B. ネットワーク侵入テスト
C. セキュリティ情報・イベント管理(SIEM)ツール
D. 分散型ハニーポットネットワーク
回答を見る
正解: A
質問 #17
組織の残存リスクが増大した場合、情報セキュリティ管理者が最初に実施すべきことはどれか。
A. リスクを軽減するためのセキュリティ対策を実施する。
B. 経営幹部に情報を伝える。
C. 第三者にリスクを移転する。
D. ビジネスインパクトを評価する。
回答を見る
正解: A
質問 #18
コーポレートガバナンスと情報セキュリティガバナンスの連携を促進する場合、組織のセキュリ ティ運営委員会の役割として最も重要なものはどれか。
A. 事業主からの統合支持の獲得
B. アライメントを実証するためのメトリクスの定義
C. 情報セキュリティ予算の承認
D. 統合度の評価と報告
回答を見る
正解: A
質問 #19
インシデント対応活動の評価指標を維持する最も重要な理由は、以下のとおりである:
A. 証拠の収集と保全が標準化されていることを確認する。
B. 事件の再発を防ぐ。
C. 継続的なプロセス改善をサポートする。
D. セキュリティインシデントの傾向を分析する。
回答を見る
正解: C
質問 #20
新しいシステムにおいて、情報セキュリティの実装を最も効果的に確保できるのはどれか。
A. セキュリティ・ベースライン
B. セキュリティ・スキャン
C. 安全なコードレビュー
D. 侵入テスト
回答を見る
正解: D
質問 #21
組織の情報の最終的な責任者は誰か?
A. データ管理者
B. 最高情報セキュリティ責任者(CISO)
C. 取締役会
D. 最高情報責任者(CIO)
回答を見る
正解: C
質問 #22
現在のリスクの再評価を開始する最も適切な理由はどれか?
A. 監査報告書のフォローアップ
B. 最近のセキュリティ事件
C. 認証要件
D. セキュリティ担当者の変更
回答を見る
正解: B
質問 #23
情報セキュリティマネジャーがリスクアセスメントを完了し、残存リスクを決定した。次のステップに進むべきはどれか。
A. 統制の評価の実施
B. リスクがリスクアペタイトの範囲内かどうかを判断する。
C. リスクを軽減するための対策を実施する。
D. 特定されたすべてのリスクを分類する
回答を見る
正解: B
質問 #24
重要なセキュリティシステムの残存リスクを受け入れるかどうかを判断する上で、最も助けになるのはどれか。
A. 最大許容停止時間(MTO)
B. 緩和策の費用便益分析
C. 年間損失見込み(ALE)
D. 承認された年間予算
回答を見る
正解: B
質問 #25
インシデントレスポンスチームが複数の企業ネットワーク機器に対する外部攻撃に対応する必要がある場合、最も有用なテクニックはどれか。
A. ネットワーク機器の侵入テスト
B. ネットワーク機器の脆弱性評価
C. エンドポイントのベースライン構成分析
D. セキュリティイベント相関分析
回答を見る
正解: D
質問 #26
災害発生時のメディア・コミュニケーションについて、組織として最善の方法はどれか?
A. 部分的な回復が達成されるまで、パブリックコメントを延期する。
B. メディアに対し、損害の詳細と復旧戦略を大まかに報告する。
C. 資格のある代理人に、特別に起草されたメッセージを伝える権限を与える。
D. 記者会見を開き、メディアに法的機関に照会するよう助言する。
回答を見る
正解: C
質問 #27
組織の情報セキュリティリスクを効果的に管理するためには、以下のことが最も重要である:
A. 新しいシステムの脆弱性を定期的に特定し、修正する。
B. リスク管理責任をエンドユーザーに課す
C. 同業組織に対するリスクシナリオのベンチマーク
D. リスク許容度の設定と伝達
回答を見る
正解: A
質問 #28
ある組織がリスク分析を実施したところ、影響度の低い脆弱性を持つ資産が多数見つかった。情報セキュリティマネジャーが次に取るべき行動は次のとおりである:
A. 適切な対策を決定する。
B. リスクを第三者に移転する。
C. 経営陣に報告する。
D. 集計されたリスクを定量化する。
回答を見る
正解: D
質問 #29
セキュリティ技術とプロセスへの投資は、それに基づいて行われるべきである:
A. 組織の目標および目的との明確な整合性。
B. 過去のプロジェクトで経験した成功事例。
C. ベスト・ビジネス・プラクティス
D. 既存の技術に内在するセーフガード。
回答を見る
正解: A
質問 #30
次のうち、インシデント対応チームメンバーの能力を評価する最も良い機会はどれか。
A. 災害復旧訓練
B. ブラックボックス侵入テスト
C. 侵害シミュレーション演習
D. 卓上テスト
回答を見る
正解: D
質問 #31
社内のインシデント対応チームに必要なリソースを決定する最も効果的な方法は、次のとおりである:
A. イベントシナリオで対応能力をテストする。
B. インシデント対応の範囲と憲章を決定する。
C. 事故管理コンサルタントに指導を要請する。
D. 他のインシデント管理プログラムをベンチマークする。
回答を見る
正解: A
質問 #32
標準的な情報セキュリティガバナンスモデルに最も大きな影響を与えるものは何か?
A. 従業員数
B. 物理的拠点間の距離
C. 組織構造の複雑さ
D. 組織予算
回答を見る
正解: C
質問 #33
ある組織で提案された大規模な購入案と新プロセスについて、リスクアセスメントとビジネス影響分析(BIA)が完了した。その結果と割り当てられたリスクに関して、情報セキュリティマネジャーとプロセスを担当するビジネス部門のマネジャーとの間に意見の相違がある。情報セキュリティマネジャーの最善のアプローチはどれか。
A. 企業のリスクに関する事業部長の判断の受け入れ
B. 企業のリスクに関する情報セキュリティ管理者の判断の受け入れ
C. 最終的なインプットのための経営幹部による評価のレビュー
D. 意見の相違を解決するには、新たなリスクアセスメントとBIAが必要である。
回答を見る
正解: C
質問 #34
情報セキュリティリスクを経営幹部に伝える最も効果的な方法はどれか。
A. ビジネスインパクト分析
B. バランススコアカード
C. 主要業績評価指標(KPI)
D. ヒートマップ
回答を見る
正解: D
質問 #35
情報セキュリティガバナンスプログラムに対する経営幹部のコミットメントを達成するために最も重要な要素は、次のとおりである:
A. 特定されたビジネスドライバー
B. プロセス改善モデル
C. 確立されたセキュリティ戦略
D. 定義されたセキュリティの枠組み
回答を見る
正解: C
質問 #36
サードパーティのフォレンジックプロバイダを選択する際に、情報セキュリティマネジャーが確認すべき最も重要なものはどれか。
A. プロバイダーの技術力
B. プロバイダーのインシデント対応計画の存在
C. 事業者の事業継続性テストの結果
D. 監査権条項の有無
回答を見る
正解: A
質問 #37
組織内の残存リスクを最もよく表しているのはどれか?
A. リスク管理の枠組み
B. リスク登録
C. ビジネスインパクト分析
D. ヒートマップ
回答を見る
正解: A
質問 #38
インシデント対応計画を定期的にテストする主な目的は、以下のとおりである:
A. インシデントレスポンスとリカバリーの重要性を強調する。
B. 技術インフラを強化する。
C. 社内のプロセスや手順を改善する。
D. 事故対応プロセスに対する従業員の意識を向上させる。
回答を見る
正解: C
質問 #39
上級管理職は、情報セキュリティの脆弱性に対処するため、組織の各部門に資金を割り当てている。この資金は、前年度の各部門の技術予算に基づいている。次のうち、情報セキュリティマネジャーが最も懸念すべきものはどれか。
A. 最もリスクの高い地域は、治療の優先順位が適切に設定されていない可能性がある。
B. 部門間で冗長な管理が実施される可能性がある。
C. 情報セキュリティガバナンスは部門ごとに分散化できる
D. 投資収益率が上級管理職に報告されないことがある。
回答を見る
正解: A
質問 #40
情報セキュリティ管理者にとって最も重要なことは、セキュリティリスク評価を確実に実施することである:
A. 企業全体で一貫して
B. 根本原因分析中
C. セキュリティ・ビジネス・ケースの一環として
D. 脅威の状況に対応するため
回答を見る
正解: D
質問 #41
代償コントロールに必要な資金を正当化する際、最も役に立つのはどれか?
A. ビジネスケース
B. リスク分析
C. ビジネスインパクト分析
D. 脅威の評価
回答を見る
正解: C
質問 #42
セキュリティの手順とガイドラインを周知し、理解させるための最も良い方法はどれか。
A. 定期的なフォーカス・グループ・ミーティング
B. 定期的なコンプライアンスレビュー
C. コンピュータベースの認定トレーニング(CBT)
D. 従業員の署名入り確認書
回答を見る
正解: A
質問 #43
侵入防御システム(IPS)が非武装ゾーン(DMZ)内のすべてのトラフィックを表示できるようにするために、最も重要なのは次のうちどれですか?
A. すべての内部トラフィックは IPS にルーティングされます。
B. 接続されたデバイスはIPSにコンタクトできる。
C. IPSはファイアウォールの外側に設置される。
D. トラフィックは、IPSによって処理される前に復号化されます。
回答を見る
正解: D
質問 #44
セキュリティインシデント発生時のインシデント対応チームの主な目標はどれか。
A. 攻撃者を確実に検知し、阻止する。
B. 基幹業務の中断を最小限に抑える
C. 文書化された証拠の連鎖を維持する
D. ビジネスへの影響を抑えるために、影響を受けるシステムをシャットダウンする。
回答を見る
正解: B
質問 #45
情報セキュリティプログラムがコーポレートガバナンスに適合しているかどうかを判断する最も適切な方法はどれか。
A. 安全保障のための資金を評価する
B. コーポレート・ガバナンスに関するエンドユーザーへの調査
C. 情報セキュリティポリシーの見直し
D. バランススコアカードを見直す
回答を見る
正解: C
質問 #46
内部監査から、規制要件に準拠していない情報セキュリティ上の問題が多数報告されている。情報セキュリティ・マネジャーは、まず何をすべきか?
A. セキュリティ例外の作成
B. 脆弱性評価の実施
C. ギャップ分析を行い、必要なリソースを決定する。
D. 事業運営に対するリスクの評価
回答を見る
正解: C
質問 #47
あるオンライン商社が、ネットワーク攻撃がファイアウォールに侵入したことを発見した。情報セキュリティ・マネジャーはまずどのような対応を取るべきか?
A. 規制当局に事件を通知する。
B. ビジネスへの影響を評価する。
C. 緩和策の実施
D. ファイアウォールのログを調べて攻撃者を特定する。
回答を見る
正解: C
質問 #48
情報所有者の主なセキュリティ責任はどれか。
A. 情報の分類レベルを決定する
B. 情報分類管理のテスト
C. 情報システムにおけるデータの完全性の維持
D. 情報分類に関連する管理の決定
回答を見る
正解: C
質問 #49
インシデント管理プログラムの第一の目標は何か?
A. 組織への影響を最小限に抑える。
B. 事件を封じ込める。
C. 根本原因を特定する。
D. 外部に伝える。
回答を見る
正解: A
質問 #50
重要な情報処理を外部に委託する前に行うべき最初のステップはどれか。
A. 第三者従業員の身元調査を義務付ける。
B. リスクアセスメントを行う。
C. 第三者がリスクを正式に受け入れていることを確認する。
D. サービスレベル契約を交渉する。
回答を見る
正解: B
質問 #51
情報セキュリティ管理をアウトソーシングする場合、組織にとって最も重要なことは、情報セキュリティ管理を含むことである:
A. 守秘義務契約(NDA)
B. コンティンジェンシー・プラン
C. 保険の要件
D. サービス・レベル・アグリーメント(SLA)
回答を見る
正解: A
質問 #52
A. D
A. ファイルのバックアップ手順B
回答を見る
正解: C
質問 #53
事故対応におけるミスを最小限に抑える最善の方法は、次のとおりである:
A. 標準作業手順に従う。
B. 事件発生時の状況を分析する。
C. ベンダーの推奨事項を実施する。
D. 参照システム管理マニュアル
回答を見る
正解: A
質問 #54
インシデント対応にシナリオベースの訓練を実施する第一の理由は、以下のとおりである:
A. インシデント対応チームのメンバーが、与えられた役割を理解するのを助ける。
B. インシデント対応チームが直面する脅威と脆弱性を検証する。
C. 避難が必要な場合、どこに報告すればよいかをスタッフが知っていることを確認する。
D. インシデントチームの対応と修復の適時性を評価する。
回答を見る
正解: D
質問 #55
セキュリティ・ガバナンスは、次のITインフラストラクチャ・コンポーネントのどれと最も関連しているか?
A. ネットワーク
B. アプリケーション
C. プラットフォーム
D. プロセス
回答を見る
正解: D
質問 #56
次の要因のうち、情報セキュリティガバナンスの主要な推進要因であり、さらなる正当化を必要としないものはどれか。
A. 業界のベストプラクティスとの整合
B. 事業継続投資
C. ビジネス上のメリット
D. 規制遵守
回答を見る
正解: D
質問 #57
事件に対応する際、証拠が法廷で法的に認められることを確実にするために必要なのは、次のうちどれか。
A. 法執行機関の監督
B. チェーン・オブ・カストディ
C. 文書化されたインシデント対応計画
D. 認定科学捜査官
回答を見る
正解: B
質問 #58
情報セキュリティとビジネス機能の整合性を確保する上で、最も効果的なのはどれか。
A. 情報セキュリティガバナンス委員会の設置
B. 情報セキュリティポリシーの策定
C. 情報セキュリティ対策のための資金提供
D. セキュリティ意識向上プログラムの確立
回答を見る
正解: A
質問 #59
セキュリティプロジェクトの実施期間を決定するためのツールとして、最も適切なものはどれか。
A. ガントチャート
B. ウォーターフォール・チャート
C. クリティカルパス
D. ラピッドアプリケーション開発(RAD)
回答を見る
正解: B
質問 #60
新しいアプリケーションシステムのリスク評価を始めるのに最も適切なのは、開発のどの段階ですか?
A. 実現可能性
B. デザイン
C. 開発
D. テスト
回答を見る
正解: A
質問 #61
セキュリティ意識向上トレーニングの効果を評価するための指標として、最も適切なものは次のうちどれですか?の数である:
A. パスワードのリセット
B. 報告された事件
C. 事件は解決した。
D. アクセスルール違反
回答を見る
正解: C
質問 #62
リスク評価は継続的に実施されるべきである:
A. コントロールは継続的に変化する。
B. ハッキング事件が増加している。
C. リスクの変化について経営陣は最新情報を入手すべきである。
D. 情報セキュリティの変化に影響を与える要因
回答を見る
正解: C
質問 #63
ある情報セキュリティマネジャーが、提案されているパブリッククラウドとの統合によって影響を受ける組織のインシデント対応方針を検討している。次のうち、クラウドサービスプロバイダーとの解決が最も困難なものはどれか。
A. 情報セキュリティ・イベント・データへのアクセス
B. インシデント対応計画の定期的なテスト
C. フォレンジック分析用の物理的ハードウェアの入手
D. インシデントと通知基準の定義
回答を見る
正解: C
質問 #64
組織がサードパーティのITサービスプロバイダーとの関係を構築する際、セキュリティの観点から契約に盛り込むべき最も重要な項目はどれか。
A. 国際的なセキュリティ基準への準拠。
B. 二要素認証システムの使用。
C. 事業が中断した場合の代替ホットサイトの存在。
D. 組織の情報セキュリティ要件への準拠。
回答を見る
正解: D
質問 #65
セキュリティインシデントが発見されたらすぐに分類する主な目的はどれか。
A. 適切なリソースの活用
B. 適切な事故調査の実施
C. 事件の影響の格下げ
D. 関連証拠の保全
回答を見る
正解: A
質問 #66
上層部は、営業部隊にモバイル機器を提供したいと考えている。この目的をサポートするために、情報セキュリティマネジャーが最初に行うべきことはどれか。
A. 技術によってもたらされるリスクを評価する。
B. 受諾可能な使用ポリシーを策定する。
C. デバイスの脆弱性評価を実施する。
D. モバイルデバイス管理(MDM)ソリューションを研究する。
回答を見る
正解: A

送信後に回答を表示する

質問の回答を得るには、電子メールと WhatsApp を送信してください。

注: 正しい試験結果を得ることができるように、電子メール ID と WhatsApp が有効であることを確認してください。

Eメール:
WhatsApp/電話番号:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.