NÃO QUER PERDER NADA?

Dicas para passar no exame de certificação

Últimas notícias sobre exames e informações sobre descontos

Curadoria e atualizada por nossos especialistas

Sim, me envie o boletim informativo

Fundamentos do exame CISM: Perguntas de exame e testes práticos, Certified Information Security Manager | SPOTO

Prepare-se para o sucesso no exame Certified Information Security Manager (CISM) com o SPOTO's CISM Exam Essentials: Exam Questions & Practice Tests. Como CISM, demonstra conhecimentos avançados no desenvolvimento e gestão de programas de segurança da informação empresarial. Aceda aos nossos testes práticos abrangentes, incluindo opções de teste gratuitas, para se aprofundar nas lixeiras, nas perguntas de amostra e nos materiais do exame, reforçando a sua compreensão dos conceitos-chave. Participe de exames simulados realistas para simular o ambiente do exame e refinar sua prática de exame. Utilize as nossas respostas detalhadas ao exame e o simulador de exame para melhorar a sua preparação. Com os recursos de preparação para exames da SPOTO', incluindo questões de exames online, estará bem preparado para fazer o exame CISM e avançar na sua carreira em segurança da informação.

Faça outros exames online

Pergunta #1
Quais são os dois componentes que PRIMARIAMENTE devem ser avaliados numa análise de risco eficaz?
A. Visibilidade e duração
B. Probabilidade e impacto
C. Probabilidade e frequência
D. Impacto financeiro e duração
Ver resposta
Resposta correta: B
Pergunta #2
Deve ser efectuada uma avaliação dos riscos:
A. Uma vez por ano para cada processo e subprocesso empresarial
B. de três em três ou de seis em seis meses para os processos comerciais críticos
C. por entidades externas para manter a objetividade
D. anualmente ou sempre que se verifique uma alteração significativa
Ver resposta
Resposta correta: B
Pergunta #3
A conservação dos registos comerciais deve basear-se PRINCIPALMENTE em:
A. estratégia e direção empresarial
B. requisitos regulamentares e legais
C. capacidade de armazenamento e longevidade
D. facilidade comercial e análise de valor
Ver resposta
Resposta correta: D
Pergunta #4
Uma análise interna de um sistema de aplicação baseado na Web descobre a capacidade de obter acesso às contas de todos os funcionários alterando o ID do funcionário no URL utilizado para aceder à conta. A vulnerabilidade identificada é:
A. Autenticação quebrada
B. entrada não validada
C. scriptin entre sítios
D. injeção de linguagem de consulta estruturada (SQL)
Ver resposta
Resposta correta: B
Pergunta #5
Qual das seguintes é a tarefa MAIS essencial para um diretor de segurança da informação (CISO)?
A. Atualizar as definições de segurança ao nível da plataforma
B. Realizar exercícios de teste de recuperação de desastres
C. Aprovar o acesso a sistemas financeiros críticos
D. Desenvolver um documento de estratégia de segurança da informação
Ver resposta
Resposta correta: C
Pergunta #6
Qual das seguintes opções descreve MELHOR o papel de um gestor de segurança da informação numa equipa multidisciplinar que irá abordar um novo requisito regulamentar relativo ao risco operacional?
A. Assegurar a identificação de todos os riscos informáticos
B. Avaliar o impacto dos riscos de segurança da informação
C. Demonstrar que existem controlos de atenuação de TI
D. Sugerir novos controlos de TI para atenuar o risco operacional
Ver resposta
Resposta correta: B
Pergunta #7
A forma MAIS útil de descrever os objectivos da estratégia de segurança da informação é através de:
A. atributos e características do "estado desejado"
B. objectivos globais de controlo do programa de segurança
C. mapeamento dos sistemas informáticos para os principais processos empresariais
D. cálculo da expetativa de perda anual
Ver resposta
Resposta correta: C
Pergunta #8
O objetivo de um controlo corretivo é
A. reduzir os acontecimentos adversos
B. indicar o compromisso
C. atenuar o impacto
D. garantir a conformidade
Ver resposta
Resposta correta: C
Pergunta #9
A MELHOR razão para uma organização ter duas firewalls discretas ligadas diretamente à Internet e à mesma DMZ seria para:
A. fornecer uma defesa aprofundada
B. ensaio e produção separados
C. permitir o balanceamento de carga do tráfego
D. impedir um ataque de negação de serviço
Ver resposta
Resposta correta: C
Pergunta #10
É importante classificar e determinar a sensibilidade relativa dos activos para garantir que:
A. O custo da proteção é proporcional à sensibilidade
B. os activos altamente sensíveis são protegidos
C. O custo dos controlos é minimizado
D. As contramedidas são proporcionais ao risco
Ver resposta
Resposta correta: B
Pergunta #11
Qual das seguintes é a forma MAIS eficaz de tratar um risco, como uma catástrofe natural, que tem uma probabilidade baixa e um nível de impacto elevado?
A. Aplicar contramedidas
B. Eliminar o risco
C. Transferir o ris
D. Aceitar o risco
Ver resposta
Resposta correta: B
Pergunta #12
Qual das seguintes opções MELHOR garante que as modificações efectuadas em aplicações empresariais desenvolvidas internamente não introduzem novas exposições de segurança?
A. Testes de esforço
B. Gestão de correcções
C. Gestão da mudança
D. Linhas de base de segurança
Ver resposta
Resposta correta: C
Pergunta #13
Depois de avaliar e atenuar os riscos de uma aplicação Web, quem deve decidir sobre a aceitação dos riscos residuais da aplicação?
A. Responsável pela segurança da informação
B. Diretor de informação (CIO)
C. Empresário
D. Diretor executivo (CF
Ver resposta
Resposta correta: A
Pergunta #14
Ao conceber um relatório trimestral de segurança da informação para a direção, o elemento MAIS importante a considerar deve ser o:
A. métrica de segurança da informação
B. conhecimentos necessários para analisar cada emissão
C. ligação ao objetivo da área de negócios
D. linha de base em relação à qual as métricas são avaliadas
Ver resposta
Resposta correta: A
Pergunta #15
Ao efetuar uma avaliação de risco sobre o impacto da perda de um servidor, o valor do servidor deve ser calculado utilizando o
A. custo original de aquisição
B. custo da loja de software
C. Expectativa de perda anualizada (ALE)
D. custo para obter um substituto
Ver resposta
Resposta correta: C
Pergunta #16
O desenvolvimento de uma argumentação comercial bem sucedida para a aquisição de produtos de software de segurança da informação pode ser auxiliado por
A. Avaliação da frequência dos incidentes
B. quantificar o custo das falhas de controlo
C. Cálculo do retorno do investimento (ROD)
D. comparar as despesas com uma organização semelhante
Ver resposta
Resposta correta: D
Pergunta #17
Qual das seguintes opções é geralmente utilizada para garantir que as informações transmitidas através da Internet são autênticas e efetivamente transmitidas pelo remetente nomeado?
A. Autenticação biométrica
B. Esteganografia incorporada
C. Autenticação de dois factores
D. Assinatura digital incorporada
Ver resposta
Resposta correta: D
Pergunta #18
O objetivo PRIMÁRIO de um programa de gestão do risco empresarial é assegurar que a organização:
A. Os activos de TI nas principais funções empresariais estão protegidos
B. Os riscos empresariais são tratados através do controlo preventivo
C. os objectivos declarados são realizáveis
D. As instalações e os sistemas informáticos estão sempre disponíveis
Ver resposta
Resposta correta: D
Pergunta #19
As relações entre as tecnologias de segurança são MELHOR definidas através de qual das seguintes opções?
A. Métricas de segurança
B. Topologia da rede
C. Arquitetura de segurança
D. Modelos de melhoria de processos
Ver resposta
Resposta correta: A
Pergunta #20
As tecnologias de segurança devem ser seleccionadas PRIMARIAMENTE com base nas suas características:
A. capacidade de atenuar os riscos da atividade
B. avaliações em publicações comerciais
C. Utilização de tecnologias novas e emergentes
D. benefícios em comparação com o seu custo
Ver resposta
Resposta correta: B
Pergunta #21
Qual das seguintes seria a MELHOR opção para melhorar a responsabilização de um administrador de sistemas com funções de segurança?
A. Incluir responsabilidades de segurança na descrição de funções
B. Exigir que o administrador obtenha uma certificação de segurança
C. Formar o administrador do sistema em testes de penetração e avaliação de vulnerabilidades
D. Formar o administrador do sistema na avaliação de riscos
Ver resposta
Resposta correta: B
Pergunta #22
Quando um gestor de segurança da informação está a desenvolver um plano estratégico para a segurança da informação, o calendário para o plano deve ser:
A. alinhado com o plano estratégico de TI
B. Com base na atual taxa de evolução tecnológica
C. três a cinco anos, tanto para o hardware como para o software
D. alinhado com a estratégia empresarial
Ver resposta
Resposta correta: D
Pergunta #23
Quando se contrata uma empresa externa para prestar serviços de administração de segurança, o elemento contratual MAIS importante é o:
A. cláusula de direito de cessação
B. limitações da responsabilidade
C. Acordo de nível de serviço (SLA)
D. cláusula de sanções financeiras
Ver resposta
Resposta correta: A
Pergunta #24
Um gestor de segurança da informação que mapeia uma descrição de funções para tipos de acesso a dados tem MAIOR probabilidade de aderir a qual dos seguintes princípios de segurança da informação?
A. Ética
B. Proporcionalidade
C. Integração
D. Responsabilidade
Ver resposta
Resposta correta: A
Pergunta #25
O objetivo PRIMÁRIO do desenvolvimento de uma estratégia de segurança da informação é
A. estabelecer métricas de segurança e monitorização do desempenho
B. educar os proprietários de processos de negócio relativamente aos seus deveres
C. assegurar o cumprimento dos requisitos legais e regulamentares
D. apoiar os objectivos comerciais da organização
Ver resposta
Resposta correta: B
Pergunta #26
A fim de realçar à direção a importância de integrar a segurança da informação nos processos empresariais, um responsável pela segurança da informação recém-contratado deve PRIMEIRO:
A. preparar um orçamento de segurança
B. efetuar uma avaliação dos riscos
C. desenvolver uma política de segurança da informação
D. obter informações de benchmarking
Ver resposta
Resposta correta: B
Pergunta #27
Qual dos seguintes factores é um impulsionador PRIMÁRIO da governação da segurança da informação que não necessita de qualquer outra justificação?
A. Alinhamento com as melhores práticas do sector
B. Investimento na continuidade das actividades
C. Benefícios para as empresas
D. Cumprimento da regulamentação
Ver resposta
Resposta correta: D
Pergunta #28
O risco previamente aceite deve ser:
A. reavaliado periodicamente, uma vez que o risco pode aumentar para um nível inaceitável devido à revisão do estado
B. aceite permanentemente, uma vez que a gestão já gastou recursos (tempo e trabalho) para concluir que o nível de risco é aceitável
C. evitada da próxima vez, uma vez que a prevenção de riscos proporciona a melhor proteção para a empresa
D. removido do registo de riscos depois de ter sido aceite
Ver resposta
Resposta correta: D
Pergunta #29
Um gestor de segurança da informação deve compreender a relação entre a segurança da informação e as operações comerciais, a fim de
A. apoiar o objetivo organizacional
B. determinar as áreas prováveis de incumprimento
C. avaliar os possíveis impactos do compromisso
D. compreender as ameaças ao negócio
Ver resposta
Resposta correta: D
Pergunta #30
Um gestor de SI decidiu implementar um sistema de segurança para monitorizar o acesso à Internet e impedir o acesso a vários sítios. Imediatamente após a instalação, os empregados contactam o helpdesk de TI com queixas de não conseguirem executar funções profissionais em sítios da Internet. Este é um exemplo de:
A. controlos de segurança contraditórios com as necessidades organizacionais
B. forte proteção dos recursos de informação
C. implementação de controlos adequados para reduzir os riscos
D. provar a capacidade de proteção da segurança da informação
Ver resposta
Resposta correta: C
Pergunta #31
O compromisso e o apoio da direção para com a segurança da informação podem ser obtidos da melhor forma através de apresentações que:
A. Utilizar exemplos ilustrativos de ataques bem sucedidos
B. explicar os riscos técnicos para a organização
C. avaliar a organização em relação às melhores práticas de segurança
D. associar os riscos de segurança aos principais objectivos comerciais
Ver resposta
Resposta correta: C
Pergunta #32
Um gestor de segurança da informação utiliza métricas de segurança para medir o..:
A. desempenho do programa de segurança da informação
B. desempenho da base de segurança
C. eficácia da análise dos riscos de segurança
D. eficácia da equipa de resposta a incidentes
Ver resposta
Resposta correta: C
Pergunta #33
A avaliação dos activos informáticos deve ser efectuada por:
A. um gestor de segurança informática
B. um consultor de segurança independente
C. o diretor financeiro (CFO)
D. a informação de que é proprietário
Ver resposta
Resposta correta: C
Pergunta #34
Ao implementar a governação da segurança da informação, uma organização deve PRIMEIRO:
A. adotar uma norma de segurança
B. determinar a base de segurança
C. definir a estratégia de segurança
D. estabelecer políticas de segurança
Ver resposta
Resposta correta: B
Pergunta #35
Um exercício de avaliação dos riscos de segurança deve ser repetido a intervalos regulares porque:
A. As ameaças comerciais estão constantemente a mudar
B. As omissões em avaliações anteriores podem ser resolvidas
C. As avaliações repetitivas permitem várias metodologias
D. Ajudam a aumentar a sensibilização para a segurança nas empresas
Ver resposta
Resposta correta: B

Ver as respostas após o envio

Por favor, envie seu e-mail e WhatsApp para obter respostas às perguntas.

Observação: certifique-se de que seu ID de e-mail e Whatsapp sejam válidos para que você possa obter os resultados corretos do exame.

E-mail:
WhatsApp/número de telefone: