すべての情報を見逃したくないですか?

認定試験に合格するためのヒント

最新の試験ニュースと割引情報

当社の専門家による厳選最新情報

はい、ニュースを送ってください

CISA実践問題集 公認情報システム監査人|SPOTO

ISACAの認定情報システム監査人(CISA)資格を取得することは、情報システムの監査、管理、および保証に関する専門知識を証明する名誉ある業績です。しかし、CISA試験に合格するには、厳しい準備と練習が必要です。弊社のCISA模擬試験および試験問題集は専門家によって綿密に作成され、最新の試験問題に対する正確性が保証されます。これらのリソースは、情報システムの監査からガバナンスや管理慣行まで、幅広いトピックをカバーしています。サンプル問題、試験用ダンプ、オンライン試験問題などの弊社の試験資料を活用して、自分の長所と短所を確認し、準備の努力を効果的に集中することができます。弊社の試験シミュレーターは実際の試験環境を再現し、現実的な体験を提供し、時間管理戦略を立てるのに役立ちます。弊社の試験問題集は精確に実際試験の範囲を絞ります。弊社の試験シミュレーターは精確に実際試験の範囲を絞ります。
他のオンライン試験を受ける

質問 #1
財務諸表を生成するエンドユーザが開発したアプリケーションのレビューを行うIS監査人が、最も懸念する調査結果はどれか。
A. アプリケーションはIT部門によって十分にサポートされていない。
B. アプリケーションの使用について十分なトレーニングを受けていない。
C. アプリケーションに適切なユーザーライセンスがない。
D. 処理されたデータの正確性を保証するための管理がない。
回答を見る
正解: D
質問 #2
ワーム」の特徴として最も適切なものはどれか?
A. 単独で実行可能で、電子メールなどのキャリアプログラムの助けを借りずに伝播する悪意のあるプログラム。
B. プログラムが繰り返しデータをダンプする原因となるプログラミングコードのエラー
C. 電子メールなどのキャリアプログラムの支援を必要とする悪意のあるプログラム
D. スクリーンセーバーやマクロ機能付きWord文書など、一般的なアプリケーションを装った悪意のあるプログラム
回答を見る
正解: B
質問 #3
次のファイアウォールの種類のうち、どれを再設定すると、ファイル転送プロトコル(FTP)を介したファイルのダウンロードを防ぐことができますか?
A. サーキットゲートウェイ
B. アプリケーションゲートウェイ
C. パケットフィルター
D. スクリーニング・ルーター
回答を見る
正解: C
質問 #4
意図的または非意図的なパスワードの漏洩は、管理ログに記録される可能性が高い。真か偽か?
A. その通り
B. 偽
回答を見る
正解: B
質問 #5
複数の外部システムとのインタフェースを持つサードパーティアプリケーションにセキュリティ脆弱性を発見した後、相当数のモジュールにパッチが適用された。IS 監査員が推奨すべきテストはどれか。
A. ストレス
B. ブラックボックス
C. インターフェース
D. システム
回答を見る
正解: D
質問 #6
許可されたプログラムの出口(トラップドア)には、どのようなリスクが関連するでしょうか?最も良い答えを選びなさい。
A. 事業リスク
B. 監査リスク
C. 探偵のリスク
D. 内在的リスク
回答を見る
正解: B
質問 #7
IS監査人が、境界ネットワークゲートウェイにおけるファイアウォール保護機能の欠如を指摘する監査報告書を発行し、この脆弱性に対処するベンダー製品を推奨した。IS監査人は行使に失敗した:
A. プロとしての独立性
B. 組織の独立性
C. 技術力
D. プロフェッショナルとしての能力
回答を見る
正解: D
質問 #8
ITガバナンスの究極の目的は、以下の通りである:
A. I
B. ITコストの削減
C. ITリソースを組織全体に分散させる。
D. I
回答を見る
正解: A
質問 #9
ソフトウェアのベースライニングが不十分であることが原因で発生する可能性のあるリスクは、次のうちどれですか?
A. スコープクリープ
B. サインオフの遅れ
C. ソフトウェアの完全性違反
D. 不適切な管理
回答を見る
正解: D
質問 #10
従業員が解雇された場合、最も重要な措置は以下の通りである:
A. 従業員のすべてのファイルを、別の指定された従業員に引き渡す。
B. 従業員の勤務先のバックアップを完了する。
C. 他の従業員に解雇を通知する。
D. 従業員の論理アクセスを無効にする。
回答を見る
正解: A
質問 #11
あるIS監査人が、ある新システムのユーザ受入テストが、開発者による不具合修正の実施によって何度も中断されていることを発見した。IS監査人が行うべき推奨事項として、最も適切なものはどれか。
A. 独立したユーザー受け入れ環境の実現可能性を検討する。
B. 毎日決まった時間にユーザーテストを実施するようスケジュールする。
C. ソースコードのバージョン管理ツールを導入する
D. 優先度の高い欠陥のみを再テストする
回答を見る
正解: B
質問 #12
IS監査の計画段階において、IS監査人の主な目標は以下の通りである:
A. 監査目的
B. 十分な証拠を集める
C. 適切なテストを指定する
D. 監査リソースの最小化
回答を見る
正解: B
質問 #13
次のうち、トランザクション処理に代替プロセスとリソースを利用できるようにすることに焦点を当てたものはどれか。
A. コールドサイト施設
B. ネットワークの災害復旧
C. 多様な処理
D. システムの災害復旧
回答を見る
正解: B
質問 #14
監査手続を選択する際、IS監査人は、専門的な判断を用いて、以下のことを確実に実施しなければならない:
A. 十分な証拠が収集される。
B. 特定されたすべての重大な欠陥は、合理的な期間内に是正される。
C. すべての重要な弱点が特定される。
D. 監査費用は最低限に抑える。
回答を見る
正解: A
質問 #15
IT開発プロジェクトで使用されたビジネス・ケースの文書は、以下の期間まで保管されるべきである:
A. システムのライフサイクルの終わり
B. プロジェクトは承認される
C. ユーザーによるシステムの受け入れ
D. システムが生産段階にある
回答を見る
正解: D
質問 #16
IS監査人は、ISが独立したサービスプロバイダー(ISP)からサービスを調達する場合、次のどの項目が提案依頼書(RFP)に含まれることを期待すべきか。
A. 他の顧客からの紹介
B. サービスレベル合意書(SLA)テンプレート
C. 保守契約
D. コンバージョンプラン
回答を見る
正解: A
質問 #17
経営者が監査報告書草案の指摘事項に同意せず、裏付けとなる文書を提出した。IS監査人が次にとるべき行動はどれか。
A. 最終報告書における経営陣の見解の相違
B. 裏付け書類の評価
C. 証拠書類を添えて、問題を上級管理職に報告する。
D. 変更なしで監査報告書案を確定する。
回答を見る
正解: B
質問 #18
ユーザーがシステムレベルでデータベースに直接アクセスする場合、リスクはどのように影響するのか?
A. 不正アクセスのリスクは増加するが、データベースへの追跡不可能な変更のリスクは減少する。
B. データベースが不正に変更され、追跡不可能になるリスクが増加する。
C. 不正アクセスのリスクは減少するが、データベースへの追跡不可能な変更のリスクは増加する。
D. データベースへの不正かつ追跡不可能な変更のリスクが減少する。
回答を見る
正解: C
質問 #19
リスクマネジメントプロセスのアウトプットは、リスクマネジメントを行うためのインプットとなる:
A. 事業計画
B. 監査憲章
C. セキュリティ・ポリシーの決定
D. ソフトウェア設計の決定
回答を見る
正解: B
質問 #20
暗号化アルゴリズムとハッシュアルゴリズムの重要な違いは何ですか?
A. ハッシュアルゴリズムはデータの機密性を保証する
B. ハッシュアルゴリズムは不可逆である
C. 暗号化アルゴリズムはデータの統合性を保証する
D. 暗号化アルゴリズムは不可逆ではない
回答を見る
正解: B
質問 #21
メッセージがすべてのネットワークを通過できるように、電子メールのフォーマットをあるネットワークから別のネットワークに変換するものはどれか。
A. ゲートウェイ
B. プロトコルコンバータ
C. フロントエンド通信プロセッサ
D. コンセントレータ/マルチプレクサ
回答を見る
正解: C
質問 #22
金銭単位サンプリングの利点の一つは、その事実である:
A. 結果はエラー項目の頻度で示される。
B. コンピュータリソースを利用できない場合、手動で簡単に適用できる。
C. 母集団から重要な項目が選ばれる可能性が高くなる。
D. 母集団の金額が大きい項目は分離して監査される。
回答を見る
正解: D
質問 #23
効果的な情報セキュリティガバナンスの文脈において、価値提供の主な目的は以下のとおりである:
A. ビジネス目標をサポートするために、セキュリティ投資を最適化する。
B. 標準的なセキュリティ対策を実施する
C. 標準ベースのソリューションを導入する。
D. 継続的改善文化の導入
回答を見る
正解: A
質問 #24
フィールドにゼロや空白ではなくデータが含まれているかどうかを判断するために使用されるデータ検証編集チェックのタイプは、次のうちどれですか?
A. チェックデジット
B. 存在チェック
C. 完全性チェック
D. 合理性チェック
回答を見る
正解: A
質問 #25
事業活動に内在するリスクが許容リスクレベルよりも高い場合、情報セキュリティマネジャーはFIRSTを実施すべきである:
A. 第三者にリスクを移転し、影響コストを回避する。
B. 許容レベルまでリスクを軽減するための管理策を実施する。
C. 経営陣に対し、その事業活動を避けるよう勧告する。
D. 現状と許容できるリスクレベルとのギャップを評価する。
回答を見る
正解: D
質問 #26
組織のIS戦略を評価する際に、IS監査人が最も重要だと考えるのはどれか。それは
A. ライン管理者の承認を得ている。
B. IS部門の予備予算と変わらない。
C. 調達手続きに従う
D. 組織の事業目標をサポートする。
回答を見る
正解: C
質問 #27
IS監査人が不適切なテスト手順を使用し、実際にエラーが存在するにもかかわらず、重要なエラーは存在しないと結論づけた場合、どのようなリスクが生じるか。
A. 事業リスク
B. 検出リスク
C. 残留リスク
D. 内在的リスク
回答を見る
正解: A
質問 #28
ISセキュリティ・ポリシーの策定は、最終的には企業の責任である:
A. IS部門
B. セキュリティ委員会
C. セキュリティ管理
D. 取締役会
回答を見る
正解: A
質問 #29
ネットワーク・パケットのルーティングと転送を担当するOSIモデルの層はどれか。
A. トランスポート層
B. ネットワーク層
C. データリンク層
D. 物理層
回答を見る
正解: C
質問 #30
コンピュータ間の対話を制御するOSIモデルの層はどれか?
A. アプリケーション層
B. プレゼンテーション層
C. セッション層
D. トランスポート層
回答を見る
正解: A
質問 #31
IS監査人は、ある組織のインシデント管理プロセスと手順をレビューしている。監査人が最も懸念すべき観察事項はどれか?
A. 効果的でない事故分類
B. 効果的でないインシデントの優先順位付け
C. 効果的でない事故検知
D. 効果的でない事故後のレビュー
回答を見る
正解: C
質問 #32
開発コストを削減し、品質を維持しながら、戦略上重要なシステムを迅速に開発するための管理手法はどれか。
A. ファンクションポイント分析
B. クリティカルパス方法論
C. 迅速なアプリケーション開発
D. プログラム評価レビュー手法
回答を見る
正解: C
質問 #33
論理アクセス制御を実装するためのベストプラクティスとして、指針となるものはどれか。
A. Biba完全性モデルの実装
B. アクセスは、組織のデータ所有者に従い、最小特権ベースで許可される。
C. Take-Grantアクセス制御モデルの実装
D. 対象者の要求に従ってデータを分類する。
回答を見る
正解: B
質問 #34
適切なファイアウォール・ポリシーを作成するための最初のステップは何ですか?
A. 最小特権の原則に従ってユーザーにアクセスを割り当てる。
B. 適切なファイアウォールのハードウェアとソフトウェアの決定
C. メールサーバー、ウェブサーバー、FTPサーバーなどのネットワークアプリケーションを特定する。
D. ファイアウォールのアクセスルールを設定する
回答を見る
正解: D
質問 #35
一要素認証を提供する中で、最も優れているものはどれか。
A. バイオメトリクス
B. パスワード
C. トークン
D. 暗証番号
回答を見る
正解: B
質問 #36
ある企業があるプロジェクトにソフトウェア開発者を起用している。ソフトウェア品質保証(QA)計画は、次のどの時点で策定すべきでしょうか?
A. ソフトウェア定義の一部として
B. 実現可能性の段階
C. 受入試験前
D. 設計段階の一部として
回答を見る
正解: B
質問 #37
新しいリスクアセスメント手法を導入する際、最も重要な要件はどれか。
A. 方法論は最高経営責任者の承認を得なければならない。
B. リスクアセスメントは毎年見直さなければならない。
C. リスクアセスメントは、認定されたスタッフによって実施されなければならない。
D. 使用される手法は、組織全体で一貫していなければならない。
回答を見る
正解: D
質問 #38
IS 監査員が、直近の 10 件の「新規ユーザー」フォームが正しく承認されているかどうかを判断するため、ア プリケーションへのアクセスをレビューしている。これはその例である:
A. 可変サンプリング
B. 実質的なテスト
C. コンプライアンス・テスト
D. ストップ・オア・ゴー・サンプリング
回答を見る
正解: B
質問 #39
データウェアハウスから生成されるメタデータの品質は、ウェアハウスの設計において_______________である。最も良い答えを選びなさい。
A. データが異種データ環境に由来するため、しばしば判断が難しい。
B. 最も重要な考慮事項
C. ウェアハウスされたデータベースの品質に依存しない
D. データウェアハウスの内容は二の次
回答を見る
正解: C
質問 #40
ITサポートスタッフとエンドユーザーとの間に職務分離の懸念が存在する場合、適切な代償管理は何か。
A. コンピューティング機器への物理的アクセスの制限
B. トランザクションログとアプリケーションログのレビュー
C. ITスタッフの雇用に先立つ身元調査の実施
D. 一定時間操作がないとユーザーセッションをロックする
回答を見る
正解: D
質問 #41
IS監査人は、ある重要なプロジェクトのプロジェクト開始会議に参加するよう要請された。IS監査人の主な関心事は、以下のことである:
A. プロジェクトの複雑さとリスクを分析した。
B. プロジェクトを通して必要なリソースが決定された。
C. プロジェクトの成果物が特定されている。
D. プロジェクトに関わる外部関係者との契約が完了した。
回答を見る
正解: C
質問 #42
トピック5災害時にトランザクションの可用性を確保するのはどれか。
A. トランザクションの入ったテープを1時間ごとにオフサイトに送る、
B. トランザクションの入ったテープを毎日オフサイトに送る。
C. トランザクションを複数のストレージデバイスにキャプチャする。
D. トランザクションをリアルタイムでオフサイトに送信する。
回答を見る
正解: D
質問 #43
WAN技術において、2台のコンピュータ間の通信にシリアル・インターフェースを使用するプロトコルはどれか。
A. ポイントツーポイントプロトコル
B. X
C. フレーム・リレー
D. ISDN
回答を見る
正解: B
質問 #44
監査フォローアップ活動を実施しているIS監査人が、以前に合意した是正処置が実施されておらず、関連するリスクが上級管理者によって受け入れられていることを知りました。監査人が経営陣の決定に同意しない場合、この状況に対処する最善の方法は何でしょうか?
A. リスクが認められた分野のみを監査範囲として監査を繰り返す。
B. 問題を解決するために監査責任者に報告する。
C. 受容されたリスクを軽減するための新たな是正措置を勧告する。
D. 経営陣の決定がなされた以上、何もしない
回答を見る
正解: B
質問 #45
IS監査人が実施する次のテストのうち、組織の変更管理手順の遵守を判断するのに最も効果的なものはどれか。
A. ソフトウェアの移行記録をレビューし、承認を確認する。
B. 発生した変更を特定し、承認を確認する。
C. 変更管理文書をレビューし、承認を確認する。
D. 適切なスタッフのみが変更をプロダクトに移行できるようにする。
回答を見る
正解: D
質問 #46
統合テスト施設(ITF)の利点はどれか。
A. 実際のマスターファイルやダミーを使用するため、IS監査人は取引のソースを確認する必要がない。
B. 定期検査では、個別の検査工程は必要ない。
C. アプリケーションシステムを検証し、システムの継続的な運用をテストする。
D. テストデータを準備する必要はない
回答を見る
正解: A
質問 #47
ある組織の従業員が、機密情報を含むスマートフォンを紛失したと報告してきました。この状況に対処するための最良のステップは、次のとおりである:
A. デバイスの接続を終了する。
B. ユーザーの管理職にエスカレーションされる。
C. ユーザーの企業リソースへのアクセスを無効にする。
D. リモートでデバイスをワイプする
回答を見る
正解: A
質問 #48
ネットワーク情報を監視・記録するネットワーク診断ツールはどれか。
A. オンラインモニター
B. ダウンタイムレポート
C. ヘルプデスクレポート
D. プロトコルアナライザー
回答を見る
正解: C
質問 #49
クロストレーニングを実施している組織を審査するIS監査人は、以下のリスクを評価すべきである:
A. 一人の人間への依存
B. 後継者育成が不十分であった。
C. 一人の人間がシステムのすべての部分を把握している。
D. 運行の中断
回答を見る
正解: C
質問 #50
ソフトウェア・モジュールのテストを目的とした動的解析ツールはどれか。
A. ブラックボックステスト
B. デスクチェック
C. 構造化されたウォークスルー
D. デザインとコード
回答を見る
正解: A
質問 #51
機能性とは、ライフサイクルを通じてソフトウェア製品の品質を評価する際に関連する特性であり、ソフトウェア製品の品質を左右する一連の属性として説明されるのが一般的である:
A. 一組の関数とその指定された性質が存在すること。
B. ある環境から別の環境へソフトウェアを移行できること。
C. 指定された条件下で、ソフトウェアの性能レベルを維持する能力。
D. ソフトウェアの性能とリソースの使用量との関係
回答を見る
正解: C
質問 #52
監査資源が組織に最高の価値をもたらすことを確実にするために、最初のステップは以下の通りである:
A. 監査のスケジュールを立て、各監査に費やされた時間を監視する。
B. 社内で使用されている最新のテクノロジーについて、IS監査スタッフをトレーニングする。
C. 詳細なリスク評価に基づいて監査計画を策定する。
D. 監査の進捗状況を監視し、コスト管理措置を開始する。
回答を見る
正解: C
質問 #53
フォローアップ監査中に、IS監査人は、組織が当初合意していた手動プロセスの強化ではなく、自動化プロセスを導入したことを知った。監査人は次のことを行うべきである:
A. 提言が実行されなかったことを報告する。
B. 新プロセスの費用便益分析を行う。
C. 新プロセスが管理目標を満たしていることを検証する。
D. 実施された勧告を報告する。
回答を見る
正解: C
質問 #54
IT運営委員会は、情報システムを評価することを第一に検討すべきである:
A. ITプロセスがビジネス要件をサポートしているかどうか
B. 提案されたシステムの機能が適切かどうか。
C. 既存ソフトの安定性
D. 導入技術の複雑さ
回答を見る
正解: C
質問 #55
トピック5病院では、医療従事者が患者の健康データを含むハンドヘルドコンピュータを携帯している。これらのハンドヘルドコンピュータは、病院のデータベースからデータを転送するPCと同期している。次のうち、最も重要なものはどれか。
A. ハンドヘルドコンピュータは、盗難や紛失の際にデータの機密性が失われないよう適切に保護されている。
B. 使用後、ローカルPCから一時ファイルを削除する従業員は、PCを管理する権限を有する。
C. タイムリーな同期は、ポリシーと手順によって確保される。
D. ハンドヘルドコンピュータの使用は、病院の方針により許可されています。
回答を見る
正解: A
質問 #56
サービスプロバイダが組織の情報セキュリティ要件に準拠していることを、情報セキュリティ管理者が十分に保証できるのは、次のうちどれか。
A. 第三者サプライヤーのセキュリティ機能のライブ・デモンストレーション
B. 第三者によるセキュリティ・コントロールの自己評価結果
C. 業界標準に準拠していることを示す独立したレビュー報告書
D. 第三者サプライヤーのITシステムとプロセスを監査する能力
回答を見る
正解: S
質問 #57
ある企業が、アプリケーションシステムに保存されている情報が適切に保護されているかどうかを判断するために、IS監査を依頼した。監査作業開始前の最も重要な行動はどれか。
A. 管理目標の設定
B. 脆弱性分析の実施
C. 侵入テストの実施
D. 改善報告書のレビュー
回答を見る
正解: A
質問 #58
ITガバナンスに関する価値提供の第一の目的は以下の通りである:
A. 効率を上げる
B. ベストプラクティスの推進
C. 投資の最適化
D. コンプライアンスを確保する
回答を見る
正解: D
質問 #59
電子送金(EFT)インターフェイスで、資金が利用可能であることを確認するためのアプリケーションレベルの編集チェックは、いつ完了すべきですか?
A. 取引完了前
B. EFTが開始された直後
C. ラン・トゥ・ランの総合テスト中
D. EFT開始前
回答を見る
正解: A
質問 #60
ITガバナンスにおける効果的なリスク管理に必要なものはどれか。
A. リスク評価は経営プロセスに組み込まれている
B. リスク管理戦略は監査委員会によって承認される。
C. リスク評価の責任は現地マネージャーにある
D. ITリスク管理は企業リスク管理とは別物である
回答を見る
正解: C
質問 #61
ある組織が最近、ロボットによるプロセス自動化を取り入れた。IS監査人が最も懸念するのはどれか。
A. コントロールはテストされていない
B. ガバナンス体制が導入されていない
C. リスクアセスメントが実施されていない
D. 新技術の採用率は低い。
回答を見る
正解: C
質問 #62
トピック5オンライン・オーダー・エントリー・システムの更新が処理されると、更新はトランザクション・テープとハードコピーのトランザクション・ログに記録される。一日の終わりに、オーダーエントリーファイルがテープにバックアップされる。バックアップ中にドライブが故障し、オーダーエントリーファイルが失われた。これらのファイルを復元するには、次のうちどれが必要ですか。
A. 前日のバックアップ・ファイルと現在のトランザクション・テープ
B. 前日のトランザクション・ファイルと現在のトランザクション・テープ
C. 現在のトランザクションテープと現在のハードコピーのトランザクションログ
D. 現在のハードコピーのトランザクションログと前日のトランザクションファイル
回答を見る
正解: A
質問 #63
あるオンライン小売業者のウェブサイトに、注文した商品と異なる商品が届いたという問い合わせが寄せられている。根本的な原因はデータ品質の低さにある。システムから誤ったデータを削除する努力にもかかわらず、複数のデータ品質の問題が発生し続けている。今後発生する可能性を低減するための最善の方法はどれか?
A. 従業員のデータ入力を検証するビジネスルールを導入する。
B. データ入力のための追加的な従業員トレーニングに投資する。
C. データ品質向上のための責任を割り当てる。信頼できる第三者にデータクレンジング活動を委託する。設計段階にあるプロジェクトが組織の目的を達成できるかどうかを判断するとき、ビジネスケースと比較するBESTは何ですか?
D.
A. プロジェクト計画
E. B
F. C
G. D
回答を見る
正解: B
質問 #64
情報セキュリティマネジャーが、新システムのビジネスケースに確実に盛り込むことが最も重要なのはどれか。
A. システムの無形的利益
B. システムに関するリスク
C. 統制の有効性
D. 監査ログ機能
回答を見る
正解: A
質問 #65
QoS(Quality of Service)の利点は、そのサービス品質にある:
A. ネットワーク全体の可用性とパフォーマンスが大幅に向上する。
B. 通信事業者は、正確なサービスレベル・コンプライアンス・レポートを会社に提供する。
C. 参加アプリケーションはサービスレベルが保証される
D. 通信リンクは、安全なオンライン取引を行うためのセキュリティ管理によってサポートされる。
回答を見る
正解: A
質問 #66
IT戦略計画のレビューにおいて、IS監査人は、新しいシステムや技術を提供することに焦点を当てたいくつかのITイニシアチブが、組織の戦略と整合していないことを発見した。次のうち、IS監査人が推奨する最善のものはどれか?
A. ITイニシアチブの投資対効果を再評価する。
B. ビジネス戦略に合致しないITイニシアチブを修正する。
C. バランススコアカードを活用し、ITイニシアチブをビジネス戦略に整合させる。
D. ビジネス戦略に合致しないITイニシアチブを再評価する。
回答を見る
正解: D
質問 #67
新しいERP(エンタープライズリソースプランニング)の導入において、職務分掌違反を特定するための最も効果的な監査手法はどれか。
A. システム内のセキュリティ権のレポートを確認する
B. 認可オブジェクトの複雑さを見直す
C. 認可における矛盾を特定するプログラムの構築
D. 最近のアクセス権侵害事件の検証
回答を見る
正解: C
質問 #68
情報セキュリティ・プログラムを確立するための最初のステップは、次のとおりである:
A. 組織のコミットメントとサポートの確保
B. 規制要件に対する組織のコンプライアンスを評価する。
C. 経営幹部が許容できるリスクレベルを決定する。
D. 組織のリスクを軽減する方針と基準を定める。
回答を見る
正解: D
質問 #69
緊急時の変更管理手順に含めなければならないものはどれか。
A. 変更を実施する前にユーザー管理者の承認を得る
B. プロダクション・ソース・ライブラリを更新し、変更を反映させる。
C. 緊急IDを使用して本番プログラムを開発に移行する
D. ヘルプデスクに変更を依頼する
回答を見る
正解: C
質問 #70
情報セキュリティポリシーの策定において、ビジネス目標との整合性を確保するために最も適 切なのはどれか。
A. 業界のベストプラクティスの導入
B. 方針と手続きの連携
C. バランススコアカードの使用
D. 関係ステークホルダーからの意見
回答を見る
正解: B
質問 #71
トピック5バックアップとリカバリ、およびオフサイトストレージ保管庫の監査を実施する際、IS監査人が最も懸念すべき調査結果はどれか。
A. このエリアに入るための鍵を持った人物が3人いる。
B. 紙文書もオフサイトの保管庫に保管される。
C. 保管庫に保存されているデータファイルは同期される。
D. オフサイト保管庫は別の施設にある。
回答を見る
正解: C
質問 #72
ある財務部長が、組織の予算アプリケーションをアウトソーシングすることを決定し、候補となるプロバイダを特定した。情報セキュリティマネジャーが最初に着手すべき行動はどれか。
A. サービスプロバイダへの接続が安全に行えることを検証する。
B. サービスプロバイダのホスティング環境に関する監査報告書を入手する。
C. プロバイダーの災害復旧計画(DRP)を見直す。
D. 組織とサービス提供者のスタッフの役割を一致させる。
回答を見る
正解: D
質問 #73
ある情報セキュリティマネジャーが、業界のベストプラクティスに従って移行管理策を特定し、実 施している。このアプローチに関連する最も大きなリスクはどれですか?
A. 上級管理者の意見がないと、重要なセキュリティ管理が見落とされる可能性がある。
B. コントロールの導入コストが高すぎる可能性がある。
C. 移行措置が適時に更新されない可能性がある。
D. セキュリティプログラムが組織の目的と整合していない可能性がある。
回答を見る
正解: C
質問 #74
IT処理能力の復旧を可能にする災害復旧計画の能力を評価する場合、IS監査人にとって最も重要なのは、その計画が正しいかどうかを検証することである:
A. オフサイトに保管されている
B. 部長への連絡
C. 定期的な見直し
D. 定期的なテスト
回答を見る
正解: C
質問 #75
個人所有デバイスの持ち込み(BYOD)を採用するかどうかを検討する場合、情報セキュリティ管理者にとって最も重要なことは、以下のことを確認することです:
A. セキュリティ・コントロールは、ネットワークに参加する際に各デバイスに適用される。
B. ビジネスリーダーはセキュリティリスクを理解している
C. 利用者は利用規約を読み、署名している。
D. アプリケーションは実装前にテストされる。
回答を見る
正解: D
質問 #76
効果的な災害復旧計画(DRP)が実施されていることを示すのに、最も適切なものはどれか。
A. 定期的なリスク評価
B. フル稼働テスト
C. バックアップの頻繁なテスト
D. 年次ウォークスルーテスト
回答を見る
正解: C
質問 #77
プログラム文書へのアクセスが許可された者に制限されているかどうかを判断しようとするIS監査人は、最も可能性が高い:
A. 敷地外保管の記録保持計画を評価する。
B. 現在行われている手続きについてプログラマーにインタビューする。
C. 利用記録と運行スケジュールを比較する
D. ライブラリアンの機能をテストするために、データファイルのアクセス記録を確認する。
回答を見る
正解: C
質問 #78
ITサービスの可用性と継続性のためのITベストプラクティスは、次のようなものでなければならない:
A. 災害に強い部品に関連するコストを最小限に抑える。
B. 事業の合意された需要を満たすのに十分な容量を提供する。
C. 顧客との間で合意された義務が履行されるという合理的な保証を提供する。
D. タイムリーなパフォーマンス指標レポートを作成する
回答を見る
正解: C
質問 #79
次のうち、統制自己評価(CSA)アプローチの属性はどれか。
A. 幅広い利害関係者の参加
B. 監査人は主要な管理分析者である。
C. 限定的な従業員の参加
D. 政策主導
回答を見る
正解: B
質問 #80
IT部門に対する業績のプレッシャーが、情報セキュリティ管理 と相反する可能性があるという問題に対処するためには、以下が 最も重要である:
A. ITパフォーマンスのプレッシャーに対応するために、セキュリティポリシーが変更される。
B. コンプライアンス違反は上級管理職に報告される。
C. シニア・マネジメントによる指導と紛争解決
D. 情報セキュリティ管理は、業績に関する問題を理解している
回答を見る
正解: D
質問 #81
オンライントランザクション処理システムのデータベースにおいて、トランザクションの完全性が維持されるようにするデータベース管理はどれか。
A. 認証制御
B. データの正規化コントロール
C. 読み書きアクセスログの制御
D. コミットメントとロールバックの制御
回答を見る
正解: C
質問 #82
Topic 5オフサイトの情報処理施設:
A. は、プライマリ処理サイトと同程度の物理的アクセス制限を持つべきである。
B. は、緊急時に容易に発見できるよう、外部から容易に識別できるものでなければならない。
C. は、すぐに稼働できるように、発祥地の近くに設置されるべきである。
D. 発地と同レベルの環境モニタリングは必要ない。
回答を見る
正解: A
質問 #83
プロジェクト運営委員会の主な責務は以下の通りである:
A. 各プロジェクトの期限を確実に守る
B. システム導入の最終検収を行う。
C. 開発されたシステムがビジネスニーズを満たしていることを確認する。
D. 日常的な指導と監督を行う
回答を見る
正解: A
質問 #84
ニューラルネットワークが不正検出に有効なのは、それが可能だからだ:
A. 新しいトレンドを発見する。
B. 大規模で一般的なトレーニングデータが得られない問題を解決する。
C. 多数の入力変数を考慮する必要がある問題を攻略する。
D. 変数とアウトプットに関連する曲線の形状について仮定する。
回答を見る
正解: D
質問 #85
職務の適切な分離により、コンピュータのオペレータ(ユーザ)がセキュリティ管理業務を行うことを防ぐことができる。真か偽か?
A. その通り
B. 偽
回答を見る
正解: B
質問 #86
トピック5オフサイトに保管されたメディアのバックアップを保護するために、保管場所は以下のようにする必要があります:
A. ビルの別の階にある。
B. 誰もが簡単にアクセスできる。
C. 緊急時のアクセスを明確に表示すること。
D. 不正アクセスから保護されている。
回答を見る
正解: D
質問 #87
次のデバイスのうち、ネットワークを拡張し、フレームを保存し、ストレージ・フォワード・デバイスとして機能する能力を持つものはどれか?
A. ルーター
B. ブリッジ
C. リピーター
D. ゲートウェイ
回答を見る
正解: B
質問 #88
ある組織がミッションクリティカルなシステムをリプレースしようとしている。システム障害のリスクを軽減・低減するための導入戦略として、最も適切なものはどれか。
A. ステージ
B. フェーズ
C. パラレル
D. ビッグバン
回答を見る
正解: B
質問 #89
送信者が受信者の公開鍵を使ってデータを暗号化し、受信者の秘密鍵を使ってデータを復号化することを特徴とする暗号システムの種類は?
A. 公開鍵暗号化、または共通鍵暗号化では
B. 公開鍵暗号化、または非対称暗号化では
C. 共有鍵暗号化(対称暗号化)を使用する場合
D. 共有鍵暗号化、つまり非対称暗号化では
回答を見る
正解: B
質問 #90
トピック5ファイルサーバーにRAIDレベル1(Redundant Array of Inexpensive Disks)を実装する主な目的は、次のとおりです:
A. パフォーマンスの向上を達成する。
B. ユーザー認証を提供する。
C. データの可用性を確保する。
D. データの機密性を確保する。
回答を見る
正解: C
質問 #91
サービスレベル管理(SLM)の主な目的は以下の通りである:
A. 必要なサービスレベルを定義し、合意し、記録し、管理する。
B. 達成可能な最高レベルの可用性を実現するためにサービスが管理されていることを確認する。
C. あらゆるサービスに関連するコストを最小限に抑える。
D. 法律違反の有無を監視し、経営陣に報告する。
回答を見る
正解: A
質問 #92
パラレルテストを実施する主な目的はどれか。
A. システムが費用対効果に優れているかどうかを判断する。
B. 包括的な単体テストとシステムテストを可能にする
C. プログラム・インターフェースとファイルのエラーをハイライトする
D. 新システムがユーザーの要求を満たすようにする
回答を見る
正解: A
質問 #93
ある組織は、定められた期限までに地域の規制要件に準拠していなければ、厳しい罰金や罰則に直面する。上級管理職は、コンプライアンスを達成するための行動計画を作成するよう、情報セキュリ ティマネージャーに依頼した。計画立案に最も役立つ情報はどれか。
A. ビジネスインパクト分析の結果
B. ギャップ分析の結果
C. 現在実施されているセキュリティ管理の目録
D. B
E.
A. 侵入方法を理解する
F. B
G. C
D. 行動を修正する
回答を見る
正解: B
質問 #94
バイオメトリクス・システムの有効性を監査する場合、次の指標のどれを見直すことが最も重要か?
A. 偽陰性
B. 誤認率
C. 未登録率
D. システム応答時間
回答を見る
正解: B
質問 #95
ITプロジェクトの成否は、第一に、そのプロジェクトの成功によって測られる:
A. ビジネス・ビジョンの機能ビジョンへの変換
B. 現行技術の導入
C. D
回答を見る
正解: C
質問 #96
システムメンテナンスプログラムの有効性を判断する際、IS監査員にとって非常に役立つものは何か。最も良い答えを選びなさい。
A. ネットワーク監視ソフトウェア
B. システムのダウンタイムログ
C. 行政活動報告
D. ヘルプデスク利用動向レポート
回答を見る
正解: B
質問 #97
IS監査人は、電気通信のアナリストが心配する必要がある:
A. システムのパフォーマンスを監視し、プログラム変更に起因する問題を追跡する。
B. 現在および将来のトランザクション量の観点から、ネットワーク負荷要件を検討する。
C. ネットワーク負荷が端末の応答時間とネットワークデータ転送速度に与える影響を評価する。
D. ネットワーク・バランシングの手順と改善策を提案する。
回答を見る
正解: B
質問 #98
あるプロジェクトのプロジェクト・マネジャーが、完成までに18カ月かかる予定であるが、6カ月後に予算の6分の1しか使われていないため、プロジェクトは健全な財務状況にあると発表した。IS監査人は、まず最初に次のことを判断しなければならない:
A. スケジュールに対してどの程度進捗しているか。
B. プロジェクト予算を削減できる場合
C. プロジェクトを前倒しで実施できるかどうか。
D. 予算削減分をプロジェクト規模の拡大に充当できるかどうか。
回答を見る
正解: A
質問 #99
組織内にプライバシー関連のコントロールを導入する主な目的はどれか。
A. 暗号化のために、静止データと転送中のデータを識別する。
B. 機密データの損失を防ぐ
C. 法的および規制上の要件を遵守するため
D. データの使用に関する選択肢を個人に提供する。
回答を見る
正解: B
質問 #100
分散環境におけるサーバー障害の影響を最小限に抑えるには、次のうちどれが最適ですか?
A. 冗長経路
B. クラスタリング
C. ダイヤルバックアップ回線
D. 待機電力
回答を見る
正解: A
質問 #101
データに対する高度なセキュリティを可能にするオブジェクト指向技術の特徴はどれか。
A. 相続
B. ダイナミック・ウェアハウス
C. カプセル化
D. 多型
回答を見る
正解: C
質問 #102
トピック5オンラインバンキング取引がデータベースに計上されている最中に、処理が突然停止した。トランザクション処理の完全性は、以下の方法で確保されます:
A. データベースの整合性チェック
B. バリデーションチェック
C. 入力コントロール
D. データベースのコミットとロールバック
回答を見る
正解: D
質問 #103
第三者のITサービス・プロバイダーが、組織の人事(HR)システムを外国でホスティングしていることを発見した場合、IS監査人はどのような勧告をするのがベストだろうか?
A. プライバシー影響分析を行う。
B. 変更管理の見直しを実施する。
C. 第三者監査報告書をレビューする。
D. 身元確認を行う。
回答を見る
正解: A
質問 #104
ITガバナンスを導入する主な目的はどれか。
A. 資源管理
B. パフォーマンス測定
C. 価値提供
D. 戦略的プランニング
回答を見る
正解: C
質問 #105
EDIアプリケーションの統制を評価する場合、IS監査人は主に以下のリスクに関心を持つべきである:
A. トランザクションのターンアラウンド時間が長すぎる。
B. アプリケーション・インターフェースの障害
C. 不適切な取引の承認
D. 検証されていないバッチ合計
回答を見る
正解: D
質問 #106
EDIプロセスを導入するプロジェクトのフィージビリティ・スタディに含めるべきものはどれか。
A. 暗号化アルゴリズム形式
B. 詳細な内部統制手続き
C. 必要な通信プロトコル
D. 信頼される第三者契約案
回答を見る
正解: C
質問 #107
参照整合性を持つリレーショナルデータベースにおいて、次のキーのうちどれを使用すれば、その行の顧客番号がordersテーブルのライブオーダーと共に保存されている限り、customerテーブルからの行の削除を防ぐことができますか?
A. 外部キー
B. 主キー
C. セカンダリーキー
D. 公開鍵
回答を見る
正解: B
質問 #108
ビジネス・プロセス改善の目的は、第一に次のようなものでなければならない:
A. スタッフへの影響は最小限
B. 生産性の増分的変化
C. 組織の境界の変更
D. パフォーマンスの最適化
回答を見る
正解: D
質問 #109
ある組織が、サードパーティのサービスプロバイダからエンタープライズデータウェアハウスへの自動データフィードを受け取ることを計画している。次のうち、不良データを受け入れないようにする最善の方法はどれか。
A. 組織全体でデータ品質チャンピオンを任命する。
B. 失敗したデータフィードを示すエラーコードを取得する。
C. 信頼できるベンダーからデータクレンジングツールを購入する。
D. 無効なデータを拒否するビジネスルールを実装する
回答を見る
正解: B
質問 #110
IS戦略の核となるのは、IS戦略はこうでなければならないということである:
A. 安価であること
B. 機密情報として保護される
C. 情報の機密性、完全性、可用性の保護
D. 組織の事業目標をサポートする
回答を見る
正解: B
質問 #111
インターネット・アプリケーションでアプレットを使用する最も可能性の高い説明は、次のようなものである:
A. サーバーからネットワーク経由で送信される。
B. サーバーはプログラムを実行せず、出力はネットワーク上に送信されない。
C. ウェブサーバーとネットワークのパフォーマンスを向上させる。
D. ウェブ・ブラウザを通じてダウンロードされ、クライアント・マシンのウェブ・サーバーで実行されるJAVAプログラムである。
回答を見る
正解: A
質問 #112
ソフトウェア・プロジェクトのコストを最小化するためには、品質管理手法を適用すべきである:
A. 可能な限り、書いたもの(つまり原産地)に近いこと。
B. 主にプロジェクト立ち上げ時に、プロジェクトが組織統治基準に従って確立されていることを確認する。
C. 欠陥検出率を最大化するため、主にテスト中に欠陥を見つけて修正することに重点を置き、プロジェクト全体を通じて継続的に実施する。
D. 主にプロジェクト終了時に、今後のプロジェクトに適用できる教訓を得る。
回答を見る
正解: A
質問 #113
ある基幹業務部門が、現在の標準を満たさない効果的なレガシーシステムに依存しており、企業ネットワークを脅かしている。このような状況に対処するための最善策はどれか。
A. 基準を満たす新しいシステムの導入を義務付ける。
回答を見る
正解: S
質問 #114
既存のシステムを新しいアプリケーションパッケージに置き換える。ユーザー受け入れテストは、以下のことを確認する必要がある:
A. 旧システムのデータは正しく変換されている。
B. 新システムは期待通りに機能する。
C. 新システムは旧システムより優れている。
D. 新システムのビジネス上の必要性がある。
回答を見る
正解: C
質問 #115
組織がPlatform as a Service(PaaS)を利用する理由として、最も可能性が高いものはどれか。
A. サードパーティがホストするアプリケーションの運用
B. オペレーティングシステムのインストールと管理
C. ネットワークとセキュリティ・アーキテクチャの確立 アプリケーションの開発と統合
回答を見る
正解: A
質問 #116
サービス停止事故の重大度レベルを決定する主な基準は以下の通りである:
A. 回収コスト
B. 否定的な世論
C. 地理的位置
D. ダウンタイム
回答を見る
正解: C
質問 #117
ある組織が、Wi-Fiロケーション解析を導入し、さまざまな小売店舗で1日の買い物客数をカウントすることを計画している。IS監査人は、ITマネジメントが最初にとるべき行動として何を推奨すべきでしょうか?
A. プライバシー影響評価の実施
B. メディアアクセス制御(MAC)アドレスのマスク
C. 買い物客にアンケートを実施し、フィードバックを求める
D. 買い物客に表示するプライバシーに関する通知を作成する。
回答を見る
正解: A
質問 #118
上級監査人が、受審者が問題を修正したと述べた後に指摘事項が削除されたことを示す、若手監査人が作成した作業報告書をレビューしている。上級監査人のとるべき行動として最も適切なものはどれか。
A. 作業報告書を承認する。
B. この問題を監査部長に報告する。
C. 所見を復活させる
D. 受審者に再試験を依頼する。
回答を見る
正解: C

送信後に回答を表示する

質問の回答を得るには、電子メールと WhatsApp を送信してください。

注: 正しい試験結果を得ることができるように、電子メール ID と WhatsApp が有効であることを確認してください。

Eメール:
WhatsApp/電話番号: