すべての情報を見逃したくないですか?

認定試験に合格するためのヒント

最新の試験ニュースと割引情報

当社の専門家による厳選最新情報

はい、ニュースを送ってください

CISM試験対策問題集・模擬試験、情報セキュリティ管理士|SPOTO

SPOTO の包括的なリソースで、CISM (Certified Information Security Manager) 試験の準備を万全にしましょう。専門家が作成した試験問題と模擬試験では、情報セキュリティガバナンス、リスク管理、インシデント管理、法規制遵守など、すべての重要なトピックをカバーしています。サンプル問題や模擬試験など、さまざまな試験準備ツールを利用して、理解を深め、自信をつけてください。信頼できない情報源に別れを告げ、SPOTOで信頼できる試験練習を取り入れましょう。試験シミュレーターを活用して試験環境を再現し、受験戦略を効果的に磨きましょう。試験資料やオンライン試験問題など、SPOTOは成功に不可欠なリソースを提供します。弊社の無料模擬試験で問題集をダウンロードして、CISM試験に合格する準備を完璧にしましょう。
他のオンライン試験を受ける
質問 #1
可用性が第一の関心事である組織では、パッチ管理手順の最も重要な成功要因は、次のようなものだろう:
A. 配備前のテスト期間。
B. 担当チームの技術力
C. 配備の有効性の証明
D. すべてのサーバーへの自動デプロイメント。
回答を見る
正解: A
質問 #2
セキュリティ意識向上プログラムの有効性を測定するために最も重要なものはどれか。
A. セキュリティ違反報告件数の減少
B. ユーザーの理解度を確認するための定量的評価
C. 安全保障問題に関するフォーカス・グループへの関心の高まり
D. セキュリティ違反報告件数の増加
回答を見る
正解: B
質問 #3
職務分掌は、主に次のような目的で用いられるセキュリティ管理である:
A. デュアルチェックを確立する。
B. ヒエラルキーを確立する。
C. 悪意のある行動を制限する。
D. オペレーションを分散化する。
回答を見る
正解: C
質問 #4
ある組織が、1年前に情報セキュリティ意識向上トレーニングプログラムを実施した。その有効性を判断する最善の方法は何か。
A. 過去の監査報告書の調査結果を分析する。
B. 研修修了報告書の結果を分析する
C. ソーシャル・エンジニアリング・テストの結果を分析する。
D. トレーニングの満足度に関する従業員アンケートの回答を分析する。
回答を見る
正解: C
質問 #5
すべてのファイアウォールルールとルーターのコンフィギュレーション設定が適切であることを確認する最良の方法は?
A. ネットワーク構成の定期的な見直し
B. 侵入検知システム(IDS)のログをレビューし、攻撃の証拠を探す。
C. 定期的な侵入テストの実施
D. ハッカーの活動の証拠がないか、サーバーログを毎日確認すること。
回答を見る
正解: C
質問 #6
ある情報セキュリティマネジャーが、経営幹部が情報セキュリティの取り組みを支援しないことを懸念している。この状況に対処する最も良い方法はどれか。
A. 情報セキュリティプログラムのリスクと状況を取締役会に報告する。
B. 経営陣の期待に応えるために、情報セキュリティ戦略を改訂する。
C. コンプライアンス違反に関する懸念を内部監査マネジャーに報告する。
D. 情報セキュリティ機能がビジネスニーズと整合していることを実証する。
回答を見る
正解: D
質問 #7
ネットワーク侵入検知システム(IDS)によって検知される可能性があるのはどれか?
A. 文書化されていないオープンポート
B. ファイルの不正変更
C. 内部生成攻撃
D. 電子メールに添付されたウイルス
回答を見る
正解: A
質問 #8
情報セキュリティマネージャーは、組織がランサムウェア攻撃を受けたのではないかと疑っています。まず何をすべきでしょうか?
A. 上級管理職に通知する。
B. 従業員に攻撃を警告する。
C. 感染を確認する。
D. 影響を受けるシステムを隔離する。
回答を見る
正解: C
質問 #9
次の活動のうち、セキュリティをソフトウェア開発ライフサイクル(SDLC)に組み込むのに最も適しているものはどれか?
A. オープンソースソフトウェアの使用を最小限に抑える。
B. 開発チームに対するセキュリティトレーニングを含める。
C. オペレーティングシステムの脆弱性をスキャンする。
D. 稼働前にアプリケーションをテストする。
回答を見る
正解: D
質問 #10
情報セキュリティ活動を変更管理プロセスに統合する主なメリットは、次のとおりである:
A. 必要な管理が変更に含まれていることを確認する
B. 不正な変更から組織を守る。
C. セキュリティ関連の業務変更に対する説明責任を強化する
D. 談合やコンプライアンスの脅威からビジネスを守る
回答を見る
正解: A
質問 #11
組織の情報セキュリティに対する外部からの影響を特定する分析として、最も適切なものはどれか。
A. ギャップ分析
B. ビジネスインパクト分析
C. 脅威分析
D. 脆弱性分析。
回答を見る
正解: C
質問 #12
ある組織が最近、セキュリティ要件が含まれていない新しい調達プログラ ムを導入した。情報セキュリティマネジャーが最初に行うべきことはどれか。
A. 各ベンダーとの年間取引額に基づき、ベンダーのセキュリティ評価を実施する。
B. 調達責任者と面談し、セキュリティと組織の業務目標との整合性について話し合う。
C. C
D. コンプライアンス違反の問題が発生した場合、調達プログラムのギャップをコンプライアンス部門にエスカレーションする。
回答を見る
正解: B
質問 #13
ある組織が、従業員が所有するスマートフォンへの重要な機密情報の保存と使用を許可している。次のうち、最も適切なセキュリティ管理策はどれか。
A. ユーザーによる組織データのバックアップの要求
B. リモートワイプ権限の確立
C. スマートフォンの使用頻度の監視
D. セキュリティ意識向上トレーニングの開発
回答を見る
正解: D
質問 #14
ISマネジャーが経営幹部から戦略的支援を得るのに最も役立つのはどれか。
A. 組織内のセキュリティインシデントの年次報告書
B. 世界的な情報セキュリティ侵害の動向に関する調査
C. 国際基準に基づく組織のセキュリティ格付け
D. 組織に特有のリスク分析
回答を見る
正解: D
質問 #15
ある組織で情報セキュリティポリシーが制定されているが、情報セキュリティマネジャーが、例外要求が多いことを指摘した。このような状況の最も可能性の高い理由は、次のうちどれでしょうか?
A. 組織は規制の厳しい業界で活動している。
B. 情報セキュリティプログラムに十分な資金が提供されていない。
C. 情報セキュリティ方針が、企業目標と整合していない。
D. 情報セキュリティポリシーが組織全体に周知されていない。
回答を見る
正解: C
質問 #16
上級管理職は、組織の侵入防御システムが繰り返し業務を妨害するのではないかという懸念を表明している。情報セキュリティマネジャーがこの懸念に対処するためにシステムを調整したことを示すベストはどれか。
A. 偽陽性の減少
B. 偽陰性を減らす
C. 偽陽性の増加
D. 偽陰性の増加
回答を見る
正解: A
質問 #17
次のうち、外部委託したクラウドプロバイダーとの契約に関連するセキュリティリスクを評価する第一義的な責任を負うべき者は誰か。
A. 情報セキュリティ管理者
B. コンプライアンス・マネージャー
C. 最高情報責任者
D. サービス・デリバリー・マネージャー
回答を見る
正解: D
質問 #18
従業員ポータルでSQLインジェクションを防ぐ最も効果的な方法はどれか。
A. データベーススキーマを再構成する
B. データベースの参照整合性を強制する
C. コードレビューの実施
D. ネットワーク侵入テストの実施
回答を見る
正解: B
質問 #19
ある金融機関のメイン・メール・サーバーがスーパーユーザーレベルで侵害された:
A. システムのルートパスワードを変更する。
B. 多要素認証を実装する。
C. オリジナルのインストール媒体からシステムを再構築する。
D. メールサーバーをネットワークから切り離す。
回答を見る
正解: C
質問 #20
情報セキュリティリスクを企業のリスク管理に統合する主なメリットは、以下のとおりである:
A. 適時にリスクを軽減する。
B. 情報セキュリティ予算を正当化する。
C. 経営幹部のコミットメントを得る。
D. リスクの全体像を把握する。
回答を見る
正解: D
質問 #21
経営幹部が包括的な情報セキュリティ方針を承認した。次のうち、組織がNEXTに行うべきことはどれか。
A. 従業員に本方針の認識を促す。
B. ビジネス利害関係者に政策の賛同を求める。
C. 認証・認可システムを導入する。
D. 採用すべき情報セキュリティフレームワークを特定する。
回答を見る
正解: B
質問 #22
組織全体のスタッフの情報セキュリティ上の役割と責任を定義する主な理由は、以 下のとおりである:
A. トレーニングの必要性を強化する
B. 企業の説明責任を高める
C. セキュリティ・ポリシーを遵守する
D. 個人に説明責任を課す
回答を見る
正解: C
質問 #23
既存の Web アプリケーションにセキュリティ対策を追加するコストを正当化する場合、最も効果的なのはどれか。
A. 内部監査報告書
B. アプリケーションセキュリティポリシー
C. 脆弱性評価結果
D. ビジネスケース
回答を見る
正解: D
質問 #24
職員による不適切なインターネット利用の潜在的な指標はどれか。
A. パスワード再設定に関するヘルプデスクへの問い合わせの増加
B. ファイアウォールへのping数の削減
C. システム・パフォーマンスの低下に関する報告の増加
D. 脆弱性スキャンによる弱点の増加
回答を見る
正解: C
質問 #25
利害関係者にセキュリティ指標を報告する主な目的はどれか。
A. 組織内の主要な統制を特定する。
B. セキュリティ監査活動の支援
C. セキュリティプログラムの有効性を伝える
D. 事業戦略との整合性を示す
回答を見る
正解: D
質問 #26
情報セキュリティの評価に評価指標を使用する主な理由は、以下のとおりである:
A. セキュリティの弱点を特定する。
B. 予算支出を正当化する。
C. 着実な改善を可能にする。
D. セキュリティに関する意識を高める。
回答を見る
正解: C
質問 #27
情報セキュリティマネジャ BEST が、セキュリティ対策がビジネスの目標と目的を達成するために適切であることを確認できる方法は、次のうちどれでしょうか。
A. 年次会社外部監査結果のレビュー
B. 国際的に認められた管理方法の採用
C. コンプライアンス違反があった場合の厳格な懲戒手続きの実施
D. リスクマネジメントプロセスの活用
回答を見る
正解: D
質問 #28
非武装地帯(DMZ)に置かれた場合、最も重大な被ばくと見なされる機器はどれか?
A. プロキシサーバー
B. メール中継サーバー
C. アプリケーションサーバー
D. データベースサーバー
回答を見る
正解: D
質問 #29
ある重要なデバイスが、複数のユーザーがデバイスにアクセスするために共有する必要のある、単一のユーザーとパスワードとともに納品された。情報セキュリティマネジャーは、デバイスへのアクセスがすべて許可されていることを確認する任務を負っています。これを達成するための最も効率的な手段はどれか。
A. 十分な認証を必要とする別のデバイスを介したアクセスを可能にする。
B. 使用後にパスワードの変更を要求する手動手順を導入する。
C. ベンダーに複数のユーザーIDを追加するよう依頼する。
D. ログを分析して不正アクセスを検出する
回答を見る
正解: A
質問 #30
企業資源計画(ERP)システムのセキュリティにとって、最も大きな脅威となるのはどれか。
A. ユーザーのアドホック・レポートが記録されない
B. ネットワークトラフィックは単一のスイッチ経由
C. オペレーティングシステム(OS)のセキュリティパッチが適用されていない。
D. データベースのセキュリティのデフォルトはERPの設定
回答を見る
正解: C
質問 #31
イントラネットを通じて新しいワームが侵入した場合、組織が最も危険にさらされるのは次のような場合である:
A. デスクトップのウイルス定義ファイルが最新でない。
B. システム・ソフトウェアは整合性チェックを受けない。
C. ホストは固定IPアドレスを持つ。
D. 実行可能コードがファイアウォールの内側から実行される。
回答を見る
正解: A
質問 #32
アウトソーシング・プロバイダーが実施する活動が情報セキュリティ・ポリシーに準拠していることを確認することは、BESTを使用することで達成できる:
A. サービスレベル契約。
B. 独立監査。
C. 明示的な契約文言。
D. 現地の規制
回答を見る
正解: B
質問 #33
組織文化の中で情報セキュリティの可視性を高める最も良い方法はどれか。
A. 部門横断的な情報セキュリティ研修の義務付け
B. 全社的なユーザー意識向上キャンペーンの実施
C. 利用ポリシーの公開
D. 業界標準に基づくセキュリティポリシーの確立
回答を見る
正解: A
質問 #34
情報セキュリティ対策のビジネスケースに対する支持を得るのに最も役立つのは、 次のうちどれか。
A. 組織としての整合性を示す
B. 組織に対する脅威の強調
C. 管理上の欠陥の参照
D. ソリューション比較マトリックスの提示
回答を見る
正解: A
質問 #35
企業でBYOD(Bring Your Own Device:私物端末の持ち込み)モバイルプログラムを導入する場合、情報セキュリティマネジャーが直面する主な課題は次のうちどれでしょうか。
A. エンドユーザーの受け入れ
B. 構成管理
C. モバイルアプリケーションの制御
D. 個別デバイスのセキュリティ
回答を見る
正解: C
質問 #36
個人所有のモバイルデバイスを企業の電子メールシステムに接続する場合、最も効果的なデータ損失対策はどれか。
A. 電子メールは、モバイルデバイス上に暗号化された形式で保存する必要があります。
B. 公共のWi-Fiホットスポットに接続しているときは、電子メールの同期を防止する必要があります。
C. 各接続はシニアマネージャーが承認しなければならない。
D. ユーザーは、モバイルデバイスを紛失した場合、そのデバイスが消去されることに同意する必要があります。
回答を見る
正解: D
質問 #37
ウェブアプリケーションにログインした後、様々なアプリケーションポイントでさらにパスワード認証情報が要求されます。このようなアプローチの主な理由は、次のうちどれですか?
A. アクセス権限が付与されていることを確認する。
B. 強力な二要素認証を強制する
C. セッション管理変数の安全性を確保する
D. シングルサインオンを実装する
回答を見る
正解: A
質問 #38
情報セキュリティの再評価頻度を決定する際に、最も重要な要素はどれか。
A. リスクの優先順位
B. リスク測定基準
C. 監査結果
D. 緩和策
回答を見る
正解: B
質問 #39
クラウド・コンピューティング・ベンダーとの責任を定義する際、ユーザーとプロバイダーの間で共有される責任とみなされるべきものはどれか。
A. データの所有権
B. アクセスログのレビュー
C. アプリケーションのロギング
D. インシデント対応
回答を見る
正解: A
質問 #40
リカバリータイム目標(RTO)の算出は、リカバリータイムを決定するために必要である:
A. ファイルの復元に要する時間
B. 復旧の優先順位
C. 同期のポイント
D. 年間損失見込み(ALE)
回答を見る
正解: B
質問 #41
契約要員が機密情報に不正にアクセスすることがないようにするため、情報セキュリ ティマネージャーは、まず第一に以下のことを行うべきである:
A. アカウントの有効期限を6ヶ月以内に設定する。
B. システム管理ロールの付与を避ける。
C. 身辺調査に合格したことを確認する。
D. アクセスがデータ所有者によって承認されていることを確認する。
回答を見る
正解: B
質問 #42
ある組織の人事部門は、従業員システムをクラウド・ホスティング・ソリューションにアウトソーシングしたいと考えている。経営陣は、このソリューションをビジネスニーズとして認識し、前進させたいと考えている。この取り組みにおいて、情報セキュリティはどのような役割を果たすべきでしょうか。
A. ソリューションに関連するセキュリティ上の問題を経営陣に説明する
B. ソリューションを安全に実装する方法を決定する。
C. サービス・プロバイダーが適切な証明書を持っていることを確認する。
D. サービスプロバイダのセキュリティ監査を確実に実施する。
回答を見る
正解: B
質問 #43
ITサービス・プロバイダーが組織の情報セキュリティ要件に確実に準拠するために、最も役立つのはどれか。
A. ITサービスプロバイダの外部セキュリティ監査の要求
B. 社内ITとの情報セキュリティ要件の定義
C. ITサービス・プロバイダーからの定期的な報告の要求
D. ITサービスプロバイダとの事業復旧計画の定義
回答を見る
正解: A
質問 #44
情報セキュリティマネジャーがアクセス制御リストを確認したところ、ある部門全体に特権アクセスが付与されていることがわかりました。情報セキュリティ管理者が最初に行うべきことはどれか。
A. アクセス許可の手順を見直す
B. 緊急アクセス許可の手順を確立する。
C. データ所有者と会い、ビジネスニーズを理解する
D. 適切なアクセス権の再定義と実装
回答を見る
正解: C
質問 #45
情報セキュリティチームが、ある組織のネットワークに侵入した疑惑を調査している。次のうち、検証すべき単一の証拠ソースとして最も適切なものはどれでしょうか?
A. 侵入検知システム
B. SIEMツール
C. ウイルス対策ソフト
D. ファイル整合性監視ソフトウェア
回答を見る
正解: B
質問 #46
ある組織がミッションクリティカルなプロセスをアウトソーシングする予定です。サービスレベル契約(SLA)に署名する前に確認することが最も重要なのはどれですか?
A. プロバイダーは最新のテクノロジーを導入している。
B. プロバイダーの技術スタッフは毎年評価される。
C. プロバイダーは、その組織の業界内で広く知られている。
D. プロバイダは、公認監査法人による監査を受けている。
回答を見る
正解: D
質問 #47
給与アプリケーションシステムは、個々のユーザーのサインオンIDを受け入れ、単一のアプリケーションIDを使用してデータベースに接続します。このシステム・アーキテクチャの最大の弱点は、以下のとおりである:
A. ユーザーはアプリケーションIDに直接アクセスし、データ制御を回避することができます。
B. 同じアプリケーションIDを持つ複数のセッションが衝突すると、データベースがロックされる。
C. アプリケーションIDのパスワードが期限切れになると、データベースが利用できなくなる。
D. データへの不正アクセスを含むインシデントは、特定のユーザーと結びつけることはできない。
回答を見る
正解: D
質問 #48
情報セキュリティプログラムの有効性を示すツールとして、最も適切なものはどれか。
A. 主要リスク指標(KRI)
B. 経営満足度調査
C. リスクヒートマップ
D. セキュリティバランススコアカード
回答を見る
正解: D
質問 #49
次のうち、脆弱性の例はどれか?
A. 自然災害
B. 欠陥ソフトウェア
C. ランサムウェア
D. 不正ユーザー
回答を見る
正解: B
質問 #50
情報セキュリティポリシーを改訂する必要性が最も高いのはどれか。
A. 競合企業との合併
B. 報告件数の増加
C. 新しいファイアウォールの導入
D. 基準と手順の変更
回答を見る
正解: A
質問 #51
情報セキュリティ・プログラムの有効性を取締役会に報告する最善の方法は、提示することである:
A. 主要なパフォーマンス指標を示すダッシュボード。
B. 同業他社のベンチマーク。
C. 直近の監査結果の概要。
D. プロセス改善によるコスト削減の報告書。
回答を見る
正解: A
質問 #52
変更検知に基づくウイルス対策ソフトの利点は、変更検知ができることである:
A. 現在および将来のウイルス株を検出できる可能性がある。
B. より柔軟なウイルスシグネチャのディレクトリ。
C. アクティビティ・モニターよりも更新頻度が低い。
D. 誤報を避ける確率が最も高い。
回答を見る
正解: A
質問 #53
情報セキュリティマネジャーが上級管理者のコミットメントを求める場合、次のうちどれを知ることが最も重要か。
A. セキュリティコスト
B. 技術的脆弱性
C. セキュリティ技術要件
D. 実施タスク
回答を見る
正解: C
質問 #54
ミッションクリティカルなサーバーに影響を及ぼす可能性のある新たな脆弱性に対処する有効なパッチがリリースされた。直ちに何をすべきか?
A. 緩和策を追加する。
B. サーバーのセキュリティをチェックし、パッチをインストールする。
C. 影響分析を行う。
D. サーバーをオフラインにし、パッチをインストールする。
回答を見る
正解: C
質問 #55
ペネトレーションテストの実施を外部に委託する場合、最も重要なのはどれか。
A. ネットワーク文書の提供
B. ITマネジメントの承認を得る
C. プロジェクト範囲の定義
D. ログレビューの頻度を増やす
回答を見る
正解: B
質問 #56
インターネットソフトウェアのセキュリティパッチをベンダーから受け取った場合、最初に行うべき活動はどれか。
A. パッチはハッシュアルゴリズムを使って検証されるべきである。
B. パッチは重要なシステムに適用すべきである。
C. パッチを脆弱性のあるシステムに迅速に導入する必要がある。
D. パッチはテスト環境で評価されるべきである。
回答を見る
正解: A
質問 #57
侵入テスト計画を承認するためのレビューにおいて、情報セキュリティマネジャーが最も懸念すべきことはどれか。
A. 侵入テストチームのスコープからの逸脱
B. 管理ユーティリティへの不正アクセス
C. オペレーションスタッフへの誤検知アラーム
D. 生産システムへの影響
回答を見る
正解: D
質問 #58
スプーフィングを防ぐべきである:
A. 情報を収集し、トラフィックを追跡し、ネットワークの脆弱性を特定する。
B. オプションが提示されたとき、プログラムがどちらに分岐するかを予測する。
C. 送信者のアドレスを偽ることで、安全なシステムに不正に侵入する。
D. ネットワークを通過するパスワードなどの情報をキャプチャする。
回答を見る
正解: C
質問 #59
組織のセキュリティ対策が業界標準に準拠していることを経営幹部に示す最も良い方法はどれか。
A. 第三者評価結果
B. 最新の方針および手順の文書化
C. 統制の成熟度に関する報告書
D. 業界で認められた枠組みの存在
回答を見る
正解: A
質問 #60
ソフトウエアのセキュリティ脆弱性の大半は、それが原因で発生する:
A. セキュリティ機能が十分にテストされていない。
B. ソフトウェアには文書化されていない機能がある。
C. セキュリティが適切に設計されていない。
D. ソフトウェアは標準に従わずに開発される。
回答を見る
正解: D
質問 #61
企業ネットワーク上のコンピュータが分散型サービス拒否攻撃の一部として利用されるのを防ぐために、情報セキュリティ・マネージャーは次のような対策を講じる必要がある:
A. 受信トラフィックのフィルタリング
B. 送信トラフィックのフィルタリング
C. ITセキュリティ・ポリシーの普及
D. 速度制限
回答を見る
正解: B
質問 #62
システム開発プロジェクトのテストフェーズにおいて、機密性の高い顧客データを使用する場合のアプローチとして、最も適切なものはどれか。
A. 別のネットワーク上にテスト環境を構築する。
B. 顧客データを消毒する。
C. テスト環境のデータ損失を監視する。
D. ソースシステム上のものと同等のコントロールを実装する。
回答を見る
正解: B
質問 #63
組織の事業部門に一連のセキュリティ管理策が導入された後は、情報セキュリティマネジャーにとって次のことが最も重要である:
A. コントロールの有効性を定期的にテストする。
B. 関連する事業主に管理を引き継ぐ。
C. 将来のシステムアップグレードに対応できるよう、制御装置を準備する。
D. コントロールのパフォーマンスを業界水準と比較するテストを実施する。
回答を見る
正解: A
質問 #64
組織の情報セキュリティプロファイルを決定する際に、最初に行う作業はどれか。
A. 資産目録の作成
B. 管理者権限の一覧
C. セキュリティ基準の確立
D. 脅威評価を完了する
回答を見る
正解: C
質問 #65
新システムのリスク分析が行われている。次のうち、ビジネスの知識がITの知識よりも重要なものはどれですか?
A. 脆弱性分析
B. バランススコアカード
C. 費用便益分析
D. 影響分析
回答を見る
正解: B
質問 #66
予算の制約のため、社内のITアプリケーションに、クライアントのサービスレベル合意(SLA)を満たすために必要な管理が含まれていません。情報セキュリティマネジャーがとるべき行動として、最も適切なものはどれか。
A. 法務部門に不備を知らせる。
B. 問題を分析し、経営幹部に報告する。
C. アプリケーションの所有者に、コントロールを実装することを要求する。
D. リスクを評価し、アプリケーション所有者に提示する。
回答を見る
正解: D
質問 #67
リソースに制限のあるセキュリティプログラムにおいて、限られたリソースを最も有効に活用できるのは、次のどのアプローチか。
A. クロストレーニング
B. リスク回避
C. リスクの優先順位付け
D. 脅威管理
回答を見る
正解: C
質問 #68
ウェブベースのビジネス・アプリケーションを内部認証する最大の理由は、それを確実にすることである:
A. 業界標準への準拠。
B. 組織方針の枠組みの変更を確認する。
C. 最新のウェブ技術が使われている。
D. 組織の方針に従うこと。
回答を見る
正解: D
質問 #69
ウェブアプリケーションにおけるクロスサイトスクリプティングに対する予防策を推奨する場合、情報セキュリティ管理者が最も推奨する可能性が高い:
A. httpの代わりにhttpsを使用する。
B. コーディング・スタンダードとコード・レビュー
C. 複数のサイトを単一のポータルに統合する。
D. ウェブ・サーバーのオペレーティング・システムのハードニング
回答を見る
正解: B
質問 #70
デバイスの紛失や盗難に関して、個人所有デバイスの持ち込み(BYOD)ポリシーに盛り込むことが最も重要なのは次のうちどれでしょうか?従業員に対する必要性:
A. 会社の事故報告プロセスを開始する。
B. モバイルサービスプロバイダにアドバイスを求める。
C. 地元警察に通報する。
D. デバイスのリモートワイプを要求する。
回答を見る
正解: D
質問 #71
ある組織が、仮想化された開発サーバーを展開するためのセルフサービスソリューションを検討している。情報セキュリティ管理者が最も懸念すべきことはどれか。
A. サーバーセキュリティベースラインを維持する能力
B. 最新のパッチを適用する能力
C. 過剰なセキュリティ・イベント・ログの生成
D. 本番環境からのサーバーの分離
回答を見る
正解: D
質問 #72
情報セキュリティフレームワークを導入する際に、最も重要な考慮事項はどれか。
A. 遵守事項
B. 監査結果
C. リスク選好度
D. 技術力
回答を見る
正解: A
質問 #73
電子メールによる個人情報漏洩の可能性を最も低くするものはどれか。
A. 電子メールの暗号化
B. ユーザー意識向上トレーニング
C. 強力なユーザ認証プロトコル
D. 電子メールの私的利用の禁止
回答を見る
正解: D
質問 #74
ある組織のサーバーの年次セキュリティレビューにおいて、機密性の高い顧客データを含む顧客サービスチームのファイルサーバーが、組織内のすべてのユーザーIDからアクセス可能であることが判明した。情報セキュリティマネジャーが最初にすべきことはどれか。
A. データ所有者に状況を報告する
B. データを含むフォルダのアクセス権を削除する。
C. サーバーをネットワークから隔離する
D. ファイルのアクセス権を適切に管理するために、カスタマーサービスチームをトレーニングする。
回答を見る
正解: A
質問 #75
内部統制監査により、レガシーシステムに関する統制の不備が発見された。情報セキュリティマネジャーが統制の不備を解決するためのセキュリティ要件を決定する上で、最も役立つのはどれか。
A. リスク評価
B. ギャップ分析
C. 費用便益分析
D. ビジネスケース
回答を見る
正解: B
質問 #76
組織が重要リスク指標(KRI)を選択する上で、最も重要な要素はどれか?
A. 投資利益率
B. 組織文化
C. 遵守事項
D. 情報の重要性
回答を見る
正解: D
質問 #77
ビジネスインパクト分析(BIA)の主な目的はどれか。
A. 脆弱性の分析
B. 復旧の優先順位の決定
C. コントロールの有効性を確認する
D. 回復時点目標(RPO)の定義
回答を見る
正解: D

送信後に回答を表示する

質問の回答を得るには、電子メールと WhatsApp を送信してください。

注: 正しい試験結果を得ることができるように、電子メール ID と WhatsApp が有効であることを確認してください。

Eメール:
WhatsApp/電話番号:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.