NÃO QUER PERDER NADA?

Dicas para passar no exame de certificação

Últimas notícias sobre exames e informações sobre descontos

Curadoria e atualizada por nossos especialistas

Sim, me envie o boletim informativo

CISM Dumps & Exam Questions 2024, Certified Information Security Manager | SPOTO

Melhorar a sua preparação para o exame CISM com SPOTO's CISM Dumps & Exam Questions 2024. Como Certified Information Security Manager (CISM), demonstra conhecimentos avançados no desenvolvimento e gestão de programas de segurança da informação empresarial. Aceda aos nossos testes práticos abrangentes, incluindo opções de teste gratuitas, para se aprofundar nas lixeiras de exame e nas perguntas de amostra, reforçando a sua compreensão dos conceitos-chave. Participe em exames simulados realistas para simular o ambiente do exame e aperfeiçoar a sua prática de exame. Utilize os nossos materiais de exame detalhados e as respostas aos exames para melhorar ainda mais a sua preparação. Com os recursos de preparação para o exame SPOTO' e o simulador de exame avançado, você' estará bem preparado para enfrentar o exame CISM com confiança e ter sucesso em sua carreira de segurança da informação.

Faça outros exames online
Pergunta #1
Qual dos seguintes seria o objetivo MAIS importante de um programa de governação da segurança da informação?
A. Revisão dos mecanismos de controlo interno
B. Participação efectiva na tomada de decisões empresariais
C. Eliminação total dos factores de risco
D. Garantir a confiança nos dados
Ver resposta
Resposta correta: D
Pergunta #2
Uma política de resposta a incidentes deve conter: C.
A. árvores de chamadas actualizadas
B. critérios de escalonamento
C.
Ver resposta
Resposta correta: A
Pergunta #3
Qual das seguintes opções MELHOR mitigaria as vulnerabilidades identificadas de forma atempada?
A. Ferramenta de monitorização contínua de vulnerabilidades
B. Categorização das vulnerabilidades com base na criticidade do sistema
C. Controlo dos principais indicadores de risco (KRI)
D. Plano de ação com responsabilidades e prazos
Ver resposta
Resposta correta: C
Pergunta #4
Qual dos seguintes elementos é o MAIS importante para garantir o sucesso de um teste de recuperação de desastres em um hot site fornecido pelo fornecedor?
A.
B.
C. O equipamento no local quente é idêntico
D. A gestão empresarial participa ativamente
Ver resposta
Resposta correta: B
Pergunta #5
Qual das seguintes opções prepararia MELHOR um gestor de segurança da informação para as revisões regulamentares?
A. Designar um administrador de segurança da informação como contacto regulamentar
B. Efetuar auto-avaliações utilizando orientações e relatórios regulamentares
C. Avaliar os relatórios regulamentares anteriores com o contributo dos proprietários dos processos
D. Assegurar que todos os inquéritos regulamentares são sancionados pelo departamento jurídico
Ver resposta
Resposta correta: D
Pergunta #6
Uma organização com um programa de resposta a incidentes maduro realiza revisões pós-incidente para todos os principais incidentes de segurança da informação. O objetivo PRIMÁRIO destas análises deve ser:
A. documentar e comunicar a causa principal dos incidentes à direção
B. identificar as lacunas do programa de segurança ou as deficiências sistémicas que devem ser corrigidas
C. Preparar notificações devidamente avaliadas sobre os incidentes para as partes externas
D. identificar quem deve ser responsabilizado pelos incidentes de segurança
Ver resposta
Resposta correta: D
Pergunta #7
Qual é a MELHOR forma de garantir que os utilizadores cumprem os requisitos de segurança organizacionais relativos à complexidade das palavras-passe?
A. Incluir os requisitos de construção de palavras-passe nas normas de segurança
B. Exigir que cada utilizador reconheça os requisitos da palavra-passe
C. Aplicar sanções rigorosas em caso de incumprimento por parte dos utilizadores
D. Ativar a configuração da palavra-passe imposta pelo sistema
Ver resposta
Resposta correta: C
Pergunta #8
Qual dos seguintes é o MELHOR indicador de que a formação de sensibilização para a segurança foi eficaz?
A. Os empregados assinam para reconhecer a política de segurança
B. Estão a ser comunicados mais incidentes
C. A maioria dos empregados completou a formação
D. Não foram registados quaisquer incidentes nos últimos três meses
Ver resposta
Resposta correta: D
Pergunta #9
Qual das seguintes opções é a MAIS crítica para a implementação e manutenção bem-sucedidas de uma política de segurança?
A. Assimilação do quadro e da intenção de uma política de segurança escrita por todas as partes apropriadas
B. Apoio e aprovação da direção para a implementação e manutenção de uma política de segurança
C. Aplicação das regras de segurança, prevendo acções punitivas para qualquer violação das regras de segurança
D. Implementação rigorosa, monitorização e aplicação de regras pelo agente de segurança através de software de controlo de acesso
Ver resposta
Resposta correta: A
Pergunta #10
As políticas de segurança da informação devem:
A. abordar as vulnerabilidades da rede empresarial
B. abordar o processo de comunicação de uma infração
C. ser simples e fácil de compreender
D. ser personalizados para grupos e funções específicos
Ver resposta
Resposta correta: C
Pergunta #11
Quando as políticas de segurança são rigorosamente aplicadas, o impacto inicial é esse:
A. podem ter de ser modificados com maior frequência
B. estarão menos sujeitos a contestação
C. o custo total da segurança é aumentado
D. a necessidade de revisões de conformidade é reduzida
Ver resposta
Resposta correta: C
Pergunta #12
O MELHOR método para detetar e monitorizar as actividades de um hacker sem expor os activos de informação a riscos desnecessários é utilizar:
A. firewalls
B. hospedeiros de bastiões
C. ficheiros de engodo
D. sub-redes seleccionadas
Ver resposta
Resposta correta: C
Pergunta #13
Qual das seguintes opções MELHOR garante um acesso atempado e fiável aos serviços?
A. Autenticidade
B. Objetivo do tempo de recuperação
C. Disponibilidade
D. Não repúdio
Ver resposta
Resposta correta: A
Pergunta #14
Uma equipa de gestão de incidentes deve efetuar uma análise pós-incidente para determinar: D.
A. provas electrónicas relevantes
B. lições aprendidas
C. identidade do hacker
D.
Ver resposta
Resposta correta: C
Pergunta #15
Durante o restauro de vários servidores, um processo crítico que serve clientes externos foi restaurado tardiamente devido a uma falha, resultando em perda de receitas. Qual das seguintes opções MELHOR ajudaria a evitar esta ocorrência?
A. Validação da tolerância ao risco dos quadros superiores
B. Actualizações da análise de impacto nas empresas (BIA)
C. Testes mais eficazes do plano de recuperação de desastres (DRP)
D. Melhoria dos métodos de identificação de incidentes
Ver resposta
Resposta correta: D
Pergunta #16
Qual das seguintes métricas seria a MAIS útil para medir a forma como a segurança da informação está a monitorizar os registos de violação?
A. Tentativas de penetração investigadas
B. Relatórios de registo de violações produzidos
C. Entradas do registo de violações
D. Frequência das medidas correctivas tomadas
Ver resposta
Resposta correta: B
Pergunta #17
Qual das seguintes opções é a MAIS provável para mudar a cultura de uma organização para uma mais consciente da segurança?
A. Políticas e procedimentos de segurança adequados
B. Revisões periódicas da conformidade
C. Comités directores de segurança
D. Campanhas de sensibilização para a segurança
Ver resposta
Resposta correta: A
Pergunta #18
Quando se treina uma equipa de resposta a incidentes, a vantagem de utilizar exercícios de mesa é que estes:
A. Proporcionar à equipa experiência prática na resposta a incidentes
B. assegurar que a equipa possa responder a qualquer incidente
C. eliminar a necessidade de envolver os gestores de topo no processo de resposta
D. permitir que a equipa desenvolva interacções de resposta eficazes
Ver resposta
Resposta correta: D
Pergunta #19
Qual das seguintes opções reduz o potencial impacto dos ataques de engenharia social?
A. Conformidade com os requisitos regulamentares
B. Promover a compreensão ética
C. Programas de sensibilização para a segurança
D. Incentivos eficazes ao desempenho
Ver resposta
Resposta correta: B
Pergunta #20
Qual deve ser a PRIMEIRA linha de ação de um gestor de segurança da informação quando uma organização está sujeita a um novo requisito regulamentar?
A. Efetuar uma análise das lacunas
B. Completar uma avaliação do controlo
C. Apresentar um caso de negócios para apoiar a conformidade
D. Atualizar o registo de riscos
Ver resposta
Resposta correta: D
Pergunta #21
Um gestor de segurança da informação desenvolveu uma estratégia para lidar com os novos riscos de segurança da informação resultantes de mudanças recentes na empresa. Qual das seguintes opções seria a MAIS importante a incluir na apresentação da estratégia à direção?
A. Os custos associados às alterações dos processos empresariais
B. Resultados da avaliação comparativa com os pares do sector
C. O impacto das mudanças organizacionais no perfil de risco de segurança
D. Controlos de segurança necessários para a atenuação do risco
Ver resposta
Resposta correta: C
Pergunta #22
Qual das seguintes actividades realizadas por um administrador de base de dados (DBA) deve ser realizada por outra pessoa?
A. Eliminar os registos de atividade da base de dados
B. Implementação de ferramentas de otimização da base de dados
C. Monitorizar a utilização da base de dados
D. Definição de procedimentos de backup e recuperação
Ver resposta
Resposta correta: D
Pergunta #23
Quando existem problemas de segregação de funções entre o pessoal de apoio informático e os utilizadores finais, qual seria um controlo de compensação adequado?
A. Restrição do acesso físico ao equipamento informático
B. Revisão dos registos de transacções e de aplicações
C. Realização de controlos de antecedentes antes da contratação de pessoal informático
D. Bloquear sessões de utilizador após um período de inatividade especificado
Ver resposta
Resposta correta: C
Pergunta #24
Ao desenvolver um plano de teste de mesa para testes de resposta a incidentes, o objetivo PRIMÁRIO do cenário deve ser
A. dar à empresa uma medida do grau de preparação geral da organização
B. proporcionar aos participantes situações que garantam a compreensão dos seus papéis
C. medir o envolvimento da gestão como parte de uma equipa de resposta a incidentes
D. desafiar a equipa de resposta a incidentes a resolver o problema sob pressão
Ver resposta
Resposta correta: D
Pergunta #25
A governação da segurança está MAIS associada a qual das seguintes componentes da infraestrutura de TI?
A. Rede
B. Aplicação
C. Plataforma
D. Processo
Ver resposta
Resposta correta: A
Pergunta #26
Qual dos seguintes é o indivíduo MAIS adequado para implementar e manter o nível de segurança da informação necessário para uma aplicação comercial específica?
A. Analista de sistemas
B. Gestor do controlo de qualidade
C. Proprietário do processo
D. Gestor da segurança da informação
Ver resposta
Resposta correta: D
Pergunta #27
Para resolver a questão de que as pressões sobre o desempenho das TI podem entrar em conflito com os controlos de segurança da informação, é MUITO importante que
A. os problemas de não conformidade são comunicados à direção
B. a gestão da segurança da informação compreende as questões de desempenho empresarial
C. a política de segurança é alterada para acomodar a pressão sobre o desempenho das TI
D. a direção superior fornece orientação e resolução de litígios
Ver resposta
Resposta correta: D
Pergunta #28
Durante uma revisão pós-incidente, a sequência e a correlação das acções devem ser analisadas PRIMARIAMENTE com base em:
A. documentos criados durante o incidente
B. registos dos sistemas envolvidos
C. uma cronologia consolidada do evento
D. entrevistas com o pessoal
Ver resposta
Resposta correta: B
Pergunta #29
Os proprietários dos dados são normalmente responsáveis por qual das seguintes actividades?
A. Aplicação de alterações de emergência aos dados da aplicação
B. Administrar a segurança dos registos da base de dados
C. Migração das alterações do código da aplicação para a produção
D. Determinar o nível de segurança da aplicação necessário
Ver resposta
Resposta correta: A
Pergunta #30
Qual dos seguintes é o MAIOR risco de uma definição inadequada da política de propriedade de dados e sistemas?
A. Não existe coordenação da gestão dos utilizadores
B. Não é possível estabelecer a responsabilidade específica do utilizador
C. Os utilizadores não autorizados podem ter acesso para originar, modificar ou apagar dados
D. As recomendações de auditoria podem não ser implementadas
Ver resposta
Resposta correta: B
Pergunta #31
Um gestor de segurança da informação analisou as listas de controlo de acesso e observou que foi concedido acesso privilegiado a todo um departamento. Qual das seguintes opções o gerente de segurança da informação deve fazer PRIMEIRO?
A. Rever os procedimentos de concessão de acesso
B. Estabelecer procedimentos para a concessão de acesso de emergência
C. Reunir-se com os proprietários dos dados para compreender as necessidades da empresa
D.
E.
Ver resposta
Resposta correta: A
Pergunta #32
Um gestor de segurança da informação concluiu uma avaliação de riscos e determinou o risco residual. Qual dos seguintes passos deve ser o PRÓXIMO?
A. Realizar uma avaliação dos controlos
B. Determinar se o risco está dentro da apetência pelo risco
C. Aplicar contramedidas para atenuar os riscos
D. Classificar todos os riscos identificados
Ver resposta
Resposta correta: C
Pergunta #33
Qual das seguintes opções é a consideração MAIS importante para decidir se deve continuar a subcontratar um fornecedor de serviços de segurança geridos?
A. A necessidade comercial da função
B. O custo dos serviços
C. A reputação do vendedor no sector
D. A capacidade de cumprir os objectivos
Ver resposta
Resposta correta: B
Pergunta #34
A MELHOR abordagem para gerir um incidente de segurança que envolva uma penetração bem sucedida deve ser a seguinte
A. permitir que os processos comerciais continuem durante a resposta
B. permitir que a equipa de segurança avalie o perfil do ataque
C. permitir que o incidente continue a rastrear a fonte
D. examinar o processo de resposta a incidentes para detetar deficiências
Ver resposta
Resposta correta: C
Pergunta #35
Qual das seguintes opções protegerá a confidencialidade dos dados transmitidos pela Internet?
A. Resumos de mensagens
B. Tradução de endereços de rede
C. Encriptação do sistema de ficheiros
D. Protocolo IPsec
Ver resposta
Resposta correta: C
Pergunta #36
Qual das seguintes tarefas deve ser realizada depois de um plano de recuperação de desastres ter sido desenvolvido?
A. Analisar o impacto comercial
B. Definir as funções da equipa de resposta
C. Desenvolver o plano de teste
D. Identificar objectivos de tempo de recuperação
Ver resposta
Resposta correta: A
Pergunta #37
A MELHOR altura para efetuar um teste de penetração é depois:
A. ocorreu uma tentativa de penetração
B. uma auditoria comunicou deficiências nos controlos de segurança
C. são efectuadas várias alterações às infra-estruturas
D. uma elevada rotação do pessoal dos sistemas
Ver resposta
Resposta correta: A
Pergunta #38
Quais dos seguintes termos e condições representam uma deficiência significativa se forem incluídos num contrato comercial de estaleiro quente?
A. Uma instalação de "hot site" será partilhada em declarações de catástrofes múltiplas
B. Todo o equipamento é fornecido "no momento da catástrofe, não no chão"
C. A instalação está sujeita a uma política de "primeiro a chegar, primeiro a ser servido"
D. O equipamento pode ser substituído por um modelo equivalente
Ver resposta
Resposta correta: D
Pergunta #39
Qual das seguintes opções apresenta a MAIOR exposição a um ataque interno numa rede?
A. As palavras-passe dos utilizadores não expiram automaticamente
B. Todo o tráfego de rede passa por um único switch
C. As palavras-passe dos utilizadores são codificadas mas não encriptadas
D. Todos os utilizadores residem numa única sub-rede interna
Ver resposta
Resposta correta: D
Pergunta #40
Qual das seguintes é a posição MAIS adequada para patrocinar a conceção e implementação de uma nova infraestrutura de segurança numa grande empresa global?
A. Responsável principal pela segurança (CSO)
B. Diretor de operações (COO)
C. Responsável pela proteção da privacidade (CPO)
D. Consultor jurídico principal (CLC)
Ver resposta
Resposta correta: A
Pergunta #41
03.Quem é responsável por garantir que a informação é categorizada e que são tomadas medidas de proteção específicas?
A. O agente de segurança
B. Quadros superiores
C. O utilizador final
D. O depositário
Ver resposta
Resposta correta: b
Pergunta #42
B. Nas aplicações críticas para a empresa, o acesso dos utilizadores deve ser aprovado pelo:
A. gestor de segurança da informação
B.
C.
Ver resposta
Resposta correta: C
Pergunta #43
Qual das seguintes opções seria a MAIS eficaz para garantir que a segurança da informação é devidamente abordada nos novos sistemas?
A. A auditoria interna aprova a segurança antes da implementação
B. A equipa de segurança da informação efectua análises de conformidade antes do início da produção
C. O pessoal da segurança da informação assume a responsabilidade pela conceção da segurança do sistema
D. Os requisitos comerciais devem incluir objectivos de segurança
Ver resposta
Resposta correta: B
Pergunta #44
Um gestor de segurança da informação descobre que um sistema departamental não está em conformidade com os requisitos de força da palavra-passe da política de segurança da informação. Qual das seguintes opções deve ser a PRIMEIRA linha de ação do gestor de segurança da informação?
A. Submeter a questão ao comité diretor para escalonamento
B. Efetuar uma análise de impacto para quantificar o risco associado
C. Isolar o sistema não conforme do resto da rede
D. Solicitar a aceitação do risco à direção
Ver resposta
Resposta correta: A
Pergunta #45
06.Para determinar como ocorreu uma violação de segurança na rede empresarial, um gestor de segurança analisa os registos de vários dispositivos
A. Servidor de base de dados
B. Servidor de nomes de domínio
C. Servidor de tempo
D. Servidor proxy
Ver resposta
Resposta correta: c
Pergunta #46
09.Qual das seguintes ferramentas fornece a uma equipa de resposta a incidentes a MAIOR perceção da atividade de ameaças internas em vários sistemas?
A. Uma rede privada virtual (VPN) com autenticação multi-fator
B. m sistema de gestão de eventos e informações de segurança (SIEM)
C. Um sistema de gestão de identidade e acesso (IAM)
D. Um sistema de prevenção de intrusões (IPS)
Ver resposta
Resposta correta: b
Pergunta #47
02.No modelo Bell-LaPadula, se uma pessoa tem autorização para um nível, a que nível ou níveis pode aceder e que requisitos adicionais tem de cumprir?
A. Só podem aceder ao nível especificado e devem ter um inquérito pessoal
B. Podem aceder ao nível especificado e superior e não têm de cumprir qualquer outro requisito
C. Podem aceder ao nível especificado e inferior e devem ter necessidade de o saber
D. Podem aceder a todos os níveis e não têm de cumprir qualquer outro requisito
Ver resposta
Resposta correta: c
Pergunta #48
Qual das seguintes opções é a MAIS difícil de alcançar num ambiente de computação em nuvem pública?
A. Redução de custos
B. Pagamento por utilização
C. Aprovisionamento a pedido
D. Capacidade de efetuar auditorias
Ver resposta
Resposta correta: D
Pergunta #49
Uma equipa de resposta a incidentes determinou que é necessário isolar um sistema que está a comunicar com um anfitrião malicioso conhecido na Internet. Qual dos seguintes intervenientes deve ser contactado PRIMEIRO?
A. Principais clientes
B. Direção executiva
C. Administrador do sistema
D. O proprietário da empresa
Ver resposta
Resposta correta: B
Pergunta #50
A direção aprovou que os funcionários trabalhem fora das instalações utilizando uma ligação de rede privada virtual (VPN). É MAIS importante para o gestor da segurança da informação periodicamente:
A. efetuar uma análise custo-benefício
B. rever a configuração da firewall
C. rever a política de segurança
D. efetuar uma avaliação dos riscos
Ver resposta
Resposta correta: C
Pergunta #51
A MELHOR forma de facilitar a comunicação e o encaminhamento de potenciais incidentes de segurança para as partes interessadas adequadas é definir classificações de incidentes com base nos seguintes factores
A. técnica utilizada para lançar o ataque
B. vulnerabilidade explorada pelo ataque
C. fonte verificada e classificação do incidente no sector
D. Gravidade e impacto do incidente
Ver resposta
Resposta correta: B
Pergunta #52
A razão MAIS importante para utilizar um mecanismo centralizado para identificar incidentes de segurança da informação é
A. detetar potenciais fraudes
B. impedir alterações não autorizadas nas redes
C. cumprir as políticas da empresa
D. detetar ameaças em vários ambientes
Ver resposta
Resposta correta: D
Pergunta #53
05.Qual das seguintes é a MELHOR forma de detetar um intruso que penetra com sucesso numa rede antes que sejam infligidos danos significativos?
A. Realizar testes de penetração periódicos
B. Estabelecer linhas de base mínimas de segurança
C. mplementar as predefinições do fornecedor
D. nstalar um honeypot na rede
Ver resposta
Resposta correta: d
Pergunta #54
Qual das seguintes opções MELHOR ajudaria a identificar vulnerabilidades introduzidas por alterações na infraestrutura técnica de uma organização?
A. Um sistema de deteção de intrusões
B. Linhas de base de segurança estabelecidas
C. Testes de penetração
D. Agregação e correlação de registos
Ver resposta
Resposta correta: D
Pergunta #55
Após a deteção de uma ameaça persistente avançada (APT), qual dos seguintes deve ser o PRIMEIRO passo do gestor de segurança da informação?
A. Notificar a direção
B. Conter a ameaça
C. Remover a ameaça
D. Efetuar uma análise da causa raiz
Ver resposta
Resposta correta: C

Ver as respostas após o envio

Por favor, envie seu e-mail e WhatsApp para obter respostas às perguntas.

Observação: certifique-se de que seu ID de e-mail e Whatsapp sejam válidos para que você possa obter os resultados corretos do exame.

E-mail:
WhatsApp/número de telefone:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.