NÃO QUER PERDER NADA?

Dicas para passar no exame de certificação

Últimas notícias sobre exames e informações sobre descontos

Curadoria e atualizada por nossos especialistas

Sim, me envie o boletim informativo

CISM Testes práticos, testes de simulação e recursos de estudo, Certified Information Security Manager | SPOTO

Prepare-se para o sucesso no exame de certificação Certified Information Security Manager (CISM) com os testes práticos abrangentes, testes simulados e recursos de estudo da SPOTO. Sendo uma certificação avançada, o CISM significa a sua capacidade de desenvolver e gerir eficazmente programas de segurança da informação empresarial. Os nossos testes práticos abrangem uma série de tópicos do exame, incluindo gestão de riscos de informação, governação, gestão de incidentes e desenvolvimento de programas. Aceda a amostras de perguntas gratuitas para avaliar os seus conhecimentos, mergulhe nas lixeiras do exame para obter uma compreensão mais profunda e faça exames simulados para simular condições reais de teste. Explore os nossos materiais de exame seleccionados com respostas e explicações detalhadas para reforçar a sua compreensão. Utilize o nosso simulador de exames online para praticar as perguntas do exame, aperfeiçoar a sua estratégia de exame e preparar-se com confiança para o exame CISM.
Faça outros exames online
Pergunta #1
Uma preocupação comum com aplicações Web mal escritas é o facto de poderem permitir a um atacante:
A. ganhar controlo através de um buffer overflow
B. realizar um ataque distribuído de negação de serviço (DoS)
C. abusar de uma condição de corrida
D. injetar instruções de linguagem de consulta estruturada (SQL)
Ver resposta
Resposta correta: D
Pergunta #2
Qual das seguintes opções deve ser a MAIS preocupante para um gestor de segurança da informação que está a analisar o programa de classificação de dados de uma organização?
A. O programa permite a concessão de excepções
B. A rotulagem não é consistente em toda a organização
C. Os requisitos de conservação de dados não estão definidos
D. As classificações não seguem as melhores práticas do sector
Ver resposta
Resposta correta: A
Pergunta #3
Qual dos seguintes factores seria o MAIS importante a considerar na perda de equipamento móvel com dados não encriptados?
A. Divulgação de informações de carácter pessoal
B. Cobertura suficiente da apólice de seguro para perdas acidentais
C. Valor intrínseco dos dados armazenados no equipamento
D. Custo de substituição do equipamento
Ver resposta
Resposta correta: C
Pergunta #4
Qual dos seguintes controlos é MAIS eficaz para fornecer uma garantia razoável de conformidade de acesso físico a uma sala de servidores não vigiada controlada com dispositivos biométricos?
A. Revisão regular das listas de controlo de acesso
B. Escolta de visitantes por guardas de segurança
C. Registo de visitantes à porta
D. Uma biometria associada a um PIN
Ver resposta
Resposta correta: A
Pergunta #5
Um servidor Web de processamento de encomendas de comércio eletrónico deve, geralmente, ser colocado em qual das seguintes opções?
A. Rede interna
B. Zona Desmilitarizada (DMZ)
C. Servidor de base de dados
D. Controlador de domínio
Ver resposta
Resposta correta: B
Pergunta #6
A MELHOR estratégia para a gestão do risco é:
A. alcançar um equilíbrio entre o risco e os objectivos organizacionais
B. reduzir o risco para um nível aceitável
C. garantir que o desenvolvimento de políticas considere adequadamente os riscos organizacionais
D. assegurar que todos os riscos não mitigados são aceites pela gestão
Ver resposta
Resposta correta: B
Pergunta #7
Quando se constata que a segurança ao nível das aplicações controlada pelos proprietários dos processos empresariais é mal gerida, qual das seguintes opções poderia melhorar as práticas actuais?
A. Centralizar a gestão da segurança
B. Aplicação de sanções em caso de incumprimento
C. Aplicação das políticas pela direção de TI
D. Revisões periódicas da conformidade
Ver resposta
Resposta correta: A
Pergunta #8
Após uma alteração significativa do código subjacente de uma aplicação, é MUITO importante que o gestor da segurança da informação
A. informar os quadros superiores
B. atualizar a avaliação dos riscos
C. validar o teste de aceitação do utilizador
D. modificar os principais indicadores de risco
Ver resposta
Resposta correta: A
Pergunta #9
A razão PRIMÁRIA para estabelecer um esquema de classificação de dados é identificar:
A. propriedade dos dados
B. estratégia de retenção de dados
C. controlos adequados
D. prioridades de recuperação
Ver resposta
Resposta correta: A
Pergunta #10
Um gestor de segurança da informação utiliza métricas de segurança para medir o..:
A. desempenho do programa de segurança da informação
B. desempenho da linha de base da segurança
C. eficácia da análise dos riscos de segurança
D. eficácia da equipa de resposta a incidentes
Ver resposta
Resposta correta: A
Pergunta #11
Qual das seguintes é a razão PRINCIPAL para efetuar avaliações periódicas do impacto nas empresas?
A. Melhorar os resultados da última avaliação do impacto nas empresas
B. Atualizar os objectivos de recuperação com base nos novos riscos
C. Diminuir os tempos de recuperação
D. Satisfazer as necessidades da política de continuidade do negócio
Ver resposta
Resposta correta: D
Pergunta #12
Qual é a MELHOR forma de atuar quando um gestor de segurança da informação descobre que um prestador de serviços externo não implementou controlos adequados para proteger os dados críticos da organização?
A. Avaliar o impacto da lacuna de controlo
B. Iniciar a renegociação dos contratos
C. Adquirir um seguro adicional
D. Realizar uma auditoria aos controlos do fornecedor
Ver resposta
Resposta correta: B
Pergunta #13
Uma mensagem* que tenha sido encriptada pela chave privada do remetente e novamente pela chave pública do destinatário atinge
A. autenticação e autorização
B. confidencialidade e integridade
C. confidencialidade e não repúdio
D. autenticação e não-repúdio
Ver resposta
Resposta correta: C
Pergunta #14
O objetivo MAIS importante da monitorização dos indicadores-chave de risco (KRI) relacionados com a segurança da informação é
A. Identificar alterações nas exposições de segurança
B. reduzir os custos de gestão do risco
C. cumprir os requisitos de conformidade regulamentar
D. minimizar as perdas decorrentes de incidentes de segurança
Ver resposta
Resposta correta: A
Pergunta #15
O benefício PRIMÁRIO da realização de uma classificação de activos de informação é
A. associar os requisitos de segurança aos objectivos comerciais
B. identificar controlos proporcionais ao risco
C. definir direitos de acesso
D.
E.
Ver resposta
Resposta correta: B
Pergunta #16
Qual é a MELHOR forma de determinar o nível de risco associado aos activos de informação processados por uma aplicação informática?
A. Avaliar o valor potencial da informação para um atacante
B. Calcular o valor comercial dos activos de informação
C. Rever o custo de aquisição dos activos de informação para a empresa
D. Requisitos de conformidade da investigação associados às informações
Ver resposta
Resposta correta: B
Pergunta #17
Qual das seguintes é a MELHOR linha de ação para o gestor de segurança da informação quando o risco residual está acima do nível de risco aceitável?
A. Efetuar uma análise custo-benefício
B. Recomendar controlos adicionais
C. Efetuar uma avaliação dos riscos
D. Remeter para a gestão empresarial
Ver resposta
Resposta correta: B
Pergunta #18
Foi pedido a um gestor de segurança da informação que criasse uma estratégia para proteger a informação da organização contra uma variedade de vectores de ameaças. Qual das seguintes acções deve ser realizada PRIMEIRO?
A. Efetuar um exercício de modelação de ameaças
B. Desenvolver um perfil de risco
C. Conceber processos de gestão do risco
D. Selecionar um quadro de governação
Ver resposta
Resposta correta: B
Pergunta #19
A implementação de um plano de capacidade evitaria:
A. sobrecarga do sistema de ficheiros resultante de ataques distribuídos de negação de serviço
B. tempo de inatividade do sistema para manutenção de segurança programada
C. Falhas de software resultantes da exploração de vulnerabilidades de capacidade de memória intermédia
D. falhas nas aplicações resultantes de recursos de hardware insuficientes
Ver resposta
Resposta correta: D
Pergunta #20
Para gerir eficazmente o risco de segurança da informação de uma organização, é MUITO importante
A. Identificar e corrigir periodicamente as vulnerabilidades dos novos sistemas
B. atribuir a responsabilidade pela gestão do risco aos utilizadores finais
C. comparar os cenários de risco com os das organizações congéneres
D. estabelecer e comunicar a tolerância ao risco
Ver resposta
Resposta correta: A
Pergunta #21
Qual dos seguintes tipos de informação o gestor de segurança da informação esperaria que tivesse o MENOR nível de proteção de segurança numa grande empresa multinacional?
A. Plano estratégico de actividades
B. Próximos resultados financeirosInformações pessoais dos clientes
C.
D. Resultados financeiros anteriores
Ver resposta
Resposta correta: D
Pergunta #22
Qual das seguintes opções é a ação MAIS adequada quando a taxa de ocorrência do risco é baixa mas o impacto é elevado?
A. Transferência de riscos
B. Aceitação dos riscos
C. Atenuação dos riscos
D. Evitar o risco
Ver resposta
Resposta correta: D
Pergunta #23
Qual das seguintes opções é a MAIS importante a considerar ao desenvolver um caso de negócio para apoiar o investimento num programa de segurança da informação?
A. Apoio dos quadros superiores
B. Resultados de uma análise custo-benefício
C. Resultados de uma avaliação de riscos
D. Impacto no perfil de risco
Ver resposta
Resposta correta: D
Pergunta #24
Ao estabelecer uma estrutura de governação da segurança da informação, é MAIS importante para um gestor de segurança da informação compreender:
A. o ambiente regulamentar
B. melhores práticas de segurança da informação
C. a cultura da empresa
D. técnicas de gestão do risco
Ver resposta
Resposta correta: A
Pergunta #25
Qual dos seguintes passos deve ser realizado PRIMEIRO no processo de avaliação do risco?
A. Entrevistas com o pessoal
B. Identificação da ameaça
C. Identificação e avaliação de activos
D. Determinação da probabilidade de ocorrência dos riscos identificados
Ver resposta
Resposta correta: C
Pergunta #26
Qual das seguintes é uma responsabilidade PRIMÁRIA de um comité de governação da segurança da informação?
A. Análise das revisões de conformidade da política de segurança da informação
B. Aprovar a aquisição de tecnologias de segurança da informação
C. Revisão da estratégia de segurança da informação
D. Aprovar a estratégia de formação de sensibilização para a segurança da informação
Ver resposta
Resposta correta: C
Pergunta #27
Qual das seguintes opções MELHOR ajudaria a garantir o alinhamento entre a segurança da informação e as funções empresariais?
A. Desenvolvimento de políticas de segurança da informação
B. Criação de um comité de governação da segurança da informação
C. Estabelecer um programa de sensibilização para a segurança
D. Financiamento dos esforços de segurança da informação
Ver resposta
Resposta correta: B
Pergunta #28
Qual das seguintes opções MELHOR demonstra o alinhamento entre a governação da segurança da informação e a governação empresarial?
A. Número médio de incidentes de segurança nas unidades de negócio
B. Justificações do projeto de segurança apresentadas em termos de valor comercial
C. Número de vulnerabilidades identificadas para activos de informação de alto risco
D. Tempo médio para resolução de incidentes de segurança em toda a empresa
Ver resposta
Resposta correta: B
Pergunta #29
Uma unidade de negócio central depende de um sistema legado eficaz que não cumpre as normas de segurança actuais e ameaça a rede da empresa. Qual das seguintes opções é a MELHOR forma de agir para resolver a situação?
A. Documentar as deficiências no registo de riscos
B. Desconectar o sistema legado do resto da rede
C. Exigir a implementação de novos sistemas que possam cumprir as normas
D. Desenvolver processos para compensar as deficiências
Ver resposta
Resposta correta: A
Pergunta #30
Qual das seguintes é a forma MAIS eficaz de garantir que as unidades empresariais cumprem uma estrutura de governação da segurança da informação?
A. Integração dos requisitos de segurança nos processos
B. Efetuar avaliações de segurança e análises de lacunas
C. Realização de uma análise de impacto comercial (BIA)
D. Realização de acções de formação de sensibilização para a segurança da informação
Ver resposta
Resposta correta: B
Pergunta #31
As actividades de identificação, análise e atenuação dos riscos podem ser melhor integradas nos processos do ciclo de vida da empresa, associando-as a
A. Ensaios de conformidade
B. gestão da configuração
C. planeamento da continuidade
D. gestão da mudança
Ver resposta
Resposta correta: B
Pergunta #32
A análise quantitativa do risco é MAIS adequada quando os dados de avaliação:
A. incluem as percepções dos clientes
B. contêm estimativas percentuais
C.
Ver resposta
Resposta correta: B
Pergunta #33
Uma organização está a desenvolver um plano de recuperação de desastres para um centro de dados que aloja várias aplicações. A sequência de recuperação de aplicações seria MELHOR ser determinada através de uma análise de:
A. Indicadores-chave de desempenho (KPIs)
B. Objectivos de tempo de recuperação (RTO)
C. Objectivos do ponto de recuperação (RPO)
D. O esquema de classificação dos dados
Ver resposta
Resposta correta: S
Pergunta #34
Ao desenvolver uma estrutura de governação da segurança da informação, qual das seguintes actividades deve ser a PRIMEIRA?
A. Integrar a segurança no processo de desenvolvimento do ciclo de vida do sistema
B. Alinhar o programa de segurança da informação com as outras actividades de risco e controlo da organização
C. Desenvolver políticas e procedimentos para apoiar o quadro
D. Desenvolver medidas de resposta para detetar e garantir o encerramento das violações de segurança
Ver resposta
Resposta correta: B
Pergunta #35
Uma organização pretende ativar a análise forense digital para uma aplicação crítica para a empresa. Qual das seguintes opções é a MELHOR para apoiar este objetivo?
A. Instalar um controlo de acesso biométrico
B. Desenvolver um plano de resposta a incidentes
C. Definir critérios de retenção de dados
D. Ativar o registo de actividades
Ver resposta
Resposta correta: A
Pergunta #36
Antes da aceitação final do risco residual, qual é a MELHOR forma de um gestor de segurança da informação abordar os factores de risco determinados como sendo inferiores aos níveis de risco aceitáveis?
A. Avaliar se está a ser aplicado um nível excessivo de controlo
B. Pedir à direção para aumentar os níveis de risco aceitáveis
C. Aplicar contramedidas mais rigorosas
D. Pedir à direção para baixar os níveis de risco aceitáveis
Ver resposta
Resposta correta: A
Pergunta #37
Qual dos seguintes deve ser o objetivo PRIMÁRIO de um gestor de segurança da informação ao conceber políticas de segurança da informação?
A. Reduzir o risco de segurança organizacional
B. Melhorar a proteção da informação
C. Minimizar o custo dos controlos de segurança
D. Atingir os objectivos organizacionais
Ver resposta
Resposta correta: A
Pergunta #38
O objetivo PRIMÁRIO de um programa de gestão do risco é: minimizar o risco inerente.
A.
B.
C.
Ver resposta
Resposta correta: D
Pergunta #39
Qual das seguintes opções é a MELHOR forma de o gestor de segurança da informação identificar a conformidade com as políticas de segurança da informação numa organização?
A. Analisar os registos do sistema
B. Realizar testes de sensibilização para a segurança
C. Efetuar avaliações de vulnerabilidade
D. Efetuar auditorias periódicas
Ver resposta
Resposta correta: D
Pergunta #40
Qual das seguintes opções seria a MAIS útil para determinar a capacidade atual de uma organização para atenuar os riscos?
A. Modelo de maturidade das capacidades
B. Análise do impacto nas empresas
C. Risco e exposição à segurança informática
D. Avaliação da vulnerabilidade
Ver resposta
Resposta correta: A
Pergunta #41
Uma grande organização está a considerar uma política que permita aos funcionários trazerem os seus próprios smartphones para o ambiente organizacional. A preocupação MAIS importante para o gestor de segurança da informação deve ser a:
A. custos mais elevados de apoio aos utilizadores finais
B. Impacto na capacidade da rede
C. diminuição da produtividade do utilizador final
D. falta de uma solução de gestão de dispositivos
Ver resposta
Resposta correta: D
Pergunta #42
Qual das seguintes é a forma MAIS eficaz de comunicar o risco de segurança da informação à direção?
A. Análise do impacto nas empresas
B. Balanced scorecard
C. Indicadores-chave de desempenho (KPIs)
D. Mapa de calor
Ver resposta
Resposta correta: A
Pergunta #43
Qual dos seguintes é o MELHOR método para determinar se um programa de segurança da informação cumpre os objectivos comerciais de uma organização?
A. Implementar medidas de desempenho
B. Análise em função das normas internacionais de segurança
C. Efetuar uma análise de impacto comercial (BIA)
D. Efetuar uma avaliação anual da segurança em toda a empresa
Ver resposta
Resposta correta: D
Pergunta #44
Qual das seguintes opções deve ser incluída PRIMARIAMENTE num programa de formação em segurança para proprietários de processos empresariais?
A. Impacto dos riscos de segurança
B. Vulnerabilidades das aplicações
C. Tempo de recuperação da aplicação Lista de incidentes de segurança relatados A Um CIO pediu ao gerente de segurança da informação da organização para fornecer planos de um ano e de cinco anos para o programa de segurança da informação
D.
E.
F.
G.
Ver resposta
Resposta correta: B
Pergunta #45
Qual das seguintes é a consideração MAIS importante para a conceção de uma estrutura eficaz de governação da segurança da informação?
A. Métricas definidas
B. Ciclo de auditoria contínua
C. Disposições da política de segurança
D. Automatização dos controlos de segurança
Ver resposta
Resposta correta: A
Pergunta #46
Ao desenvolver um plano de recuperação de desastres, qual das seguintes opções seria MAIS útil para priorizar a ordem em que os sistemas devem ser recuperados?
A. Realização de uma análise de impacto comercial
B. Medir o volume de dados em cada sistema
C. Revisão da política de segurança da informação
D. Revisão da estratégia empresarial
Ver resposta
Resposta correta: D
Pergunta #47
Qual das seguintes opções é a MAIS útil para integrar a governação da segurança da informação na governação empresarial?
A. Atribuir a implementação da governação da segurança da informação ao comité diretor
B. Inclusão dos processos de segurança da informação nos processos operacionais e de gestão
C. Apresentar ao Conselho de Administração relatórios independentes sobre a eficiência e eficácia da segurança da informação
D. Alinhar a governação da segurança da informação com um quadro globalmente aceite
Ver resposta
Resposta correta: B
Pergunta #48
Uma instituição financeira global decidiu não tomar mais nenhuma medida em relação a um risco de negação de serviço (DoS) encontrado pela equipa de avaliação de riscos. A razão MAIS provável para essa decisão é que:
A. Existem salvaguardas suficientes para evitar que este risco ocorra
B. A contramedida necessária é demasiado complicada para ser aplicada
Ver resposta
Resposta correta: C
Pergunta #49
Um programa de gestão de riscos será MAIS eficaz quando:
A. a apetência pelo risco é mantida durante um longo período
B. as avaliações de risco são repetidas periodicamente
C. as avaliações de risco são efectuadas por um terceiro
D. As unidades de negócio estão envolvidas nas avaliações de risco
Ver resposta
Resposta correta: D
Pergunta #50
Qual das seguintes opções seria MAIS útil para o gestor de segurança da informação encarregado de aplicar normas melhoradas de palavras-passe?
A. Realização de testes de força da palavra-passe
B. Reeducar os utilizadores finais sobre a criação de palavras-passe complexas e fortes
C. Implementação de um sistema centralizado de gestão da identidade
D. Implementação de controlos técnicos de palavras-passe para incluir uma forte complexidade
Ver resposta
Resposta correta: A
Pergunta #51
Durante uma avaliação de segurança, um gestor de segurança da informação descobre que vários patches de segurança não foram instalados num servidor que aloja uma aplicação comercial crítica. O proprietário da aplicação não aprovou a instalação do patch para evitar interromper a aplicação. Qual das seguintes opções deve ser a PRIMEIRA linha de ação do gestor de segurança da informação?
A. Escalar o risco para a gestão sénior
B. Comunicar o potencial impacto ao proprietário da aplicação
C. Comunicar o risco ao comité diretor de segurança da informação
D. Determinar opções de atenuação com a gestão de TI
Ver resposta
Resposta correta: D

Ver as respostas após o envio

Por favor, envie seu e-mail e WhatsApp para obter respostas às perguntas.

Observação: certifique-se de que seu ID de e-mail e Whatsapp sejam válidos para que você possa obter os resultados corretos do exame.

E-mail:
WhatsApp/número de telefone:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.