NÃO QUER PERDER NADA?

Dicas para passar no exame de certificação

Últimas notícias sobre exames e informações sobre descontos

Curadoria e atualizada por nossos especialistas

Sim, me envie o boletim informativo

Perguntas e respostas sobre o exame ISACA CISM | Testes práticos para obter a certificação CISM

Perguntas e respostas reais para ajudá-lo a se preparar para o exame ISACA CISM Seu objetivo é obter a prestigiosa certificação CISM? Não precisa procurar mais, basta consultar nossa coleção de perguntas e respostas de exames reais. Projetadas para reproduzir o ambiente real do exame ISACA CISM, essas perguntas práticas o ajudarão a avaliar seu conhecimento e a identificar as áreas em que você precisa concentrar seus estudos. Nossos testes práticos são meticulosamente elaborados para abranger uma ampla gama de tópicos, garantindo que você esteja bem preparado para qualquer desafio que possa surgir durante o exame. Ao praticar com essas questões, você obterá informações valiosas sobre o formato do exame, os tipos de questões e o nível de dificuldade que pode esperar. Nossos materiais de estudo foram desenvolvidos para complementar a sua preparação para o exame, fornecendo recursos e explicações adicionais para solidificar a sua compreensão dos principais conceitos. Com a nossa abordagem abrangente, você pode abordar o exame ISACA CISM com confiança e aumentar suas chances de sucesso.
Faça outros exames online
Pergunta #1
Uma empresa aceitou anteriormente o risco associado a uma vulnerabilidade de dia zero. A mesma vulnerabilidade foi explorada recentemente em um ataque de alto perfil a outra organização do mesmo setor. Qual das seguintes opções deve ser a PRIMEIRA ação do gerente de segurança da informação?
A. Reavaliar o risco em termos de probabilidade e impacto
B. Relatar a violação da outra organização à gerência sênior
C. Avaliar o custo da correção da vulnerabilidade
D. Desenvolver o melhor e o pior cenário possível
Ver resposta
Resposta correta: A

View The Updated CISM Exam Questions

SPOTO Provides 100% Real CISM Exam Questions for You to Pass Your CISM Exam!

Get CISM Practice Test
Pergunta #2
Qual dos itens a seguir é o mais importante a ser rastreado para determinar a eficácia de um programa de segurança da informação?
A. Indicadores-chave de desempenho (KPls)
B. Acordos de nível de serviço (SLAs)
C. Principais indicadores de risco (KRIs)
D. Retorno sobre o investimento (ROI)
Ver resposta
Resposta correta: A
Pergunta #3
Qual das opções a seguir é a maneira MAIS eficaz de uma organização garantir que seus prestadores de serviços terceirizados estejam cientes dos requisitos e das expectativas de segurança da informação?
A. Auditoria da prestação de serviços de fornecedores terceirizados
B. Inclusão de cláusulas de segurança da informação nos contratos
C. Fornecimento de treinamento em segurança da informação para a equipe de terceiros
D. Exigir que terceiros assinem acordos de confidencialidade
Ver resposta
Resposta correta: B
Pergunta #4
Qual das opções a seguir é a abordagem MAIS eficaz para oferecer treinamento de resposta a incidentes de segurança?
A. Realizar exercícios de interpretação de papéis para simular cenários reais de resposta a incidentes
B. Inclua o treinamento de resposta a incidentes na orientação de novos funcionários
C. Contrate consultores externos para apresentar exemplos reais do setor
D. Fornecer treinamento e orientação no local de trabalho para a equipe de resposta a incidentes
Ver resposta
Resposta correta: D
Pergunta #5
Uma organização está desenvolvendo um plano de recuperação de desastres (DRP) para um data center que hospeda vários aplicativos. A sequência de recuperação de aplicativos MELHOR seria determinada por meio de uma análise de
A. indicadores-chave de desempenho (KPls)
B. objetivos de tempo de recuperação (RTOs)
C. objetivos de ponto de recuperação (RPOs)
D. o esquema de classificação de dados
Ver resposta
Resposta correta: B
Pergunta #6
Um gerente de segurança da informação está analisando a política de resposta a incidentes da organização afetada por uma proposta de integração de nuvem pública. Qual das seguintes situações será a MAIS difícil de resolver com o provedor de serviços em nuvem?
A. Definição de incidentes e critérios de notificação
B. Obtenção de hardware físico para análise forense
C. Acesso a dados de eventos de segurança da informação
D. Testes regulares do plano de resposta a incidentes
Ver resposta
Resposta correta: B
Pergunta #7
Uma empresa de comércio on-line descobre que um ataque à rede penetrou no firewall Qual deve ser a PRIMEIRA resposta do gerente de segurança da informação?
A. Examinar os registros do firewall para identificar o invasor
B. Implementar controles de atenuação
C. Notificar a agência reguladora sobre o incidente
D. Avaliar o impacto nos negócios
Ver resposta
Resposta correta: D
Pergunta #8
Um gerente de segurança da informação pesquisou várias opções para lidar com preocupações contínuas de segurança e apresentará essas soluções aos gerentes de negócios. Qual das seguintes opções MELHOR permitirá que os gerentes de negócios tomem uma decisão informada?
A. Análise de lacunas
B. Análise de custo-benefício
C. Análise de risco
D. Análise de impacto nos negócios (BIA)
Ver resposta
Resposta correta: D
Pergunta #9
Uma organização multinacional desenvolveu uma política de traga seu próprio dispositivo (BYOD) que exige a instalação de software de gerenciamento de dispositivos móveis (MDM) em dispositivos de propriedade pessoal. Qual dos itens a seguir representa o MAIOR desafio para a implementação da política?
A. Diferenças nas plataformas de sistemas operacionais móveis
B. Diferenças nas culturas corporativas
C. Variação dos direitos de privacidade dos dados dos funcionários
D. Tradução e comunicação da política
Ver resposta
Resposta correta: C
Pergunta #10
Qual das tendências a seguir seria a de MAIOR preocupação ao analisar o desempenho dos sistemas de detecção de intrusão (IDS) de uma organização?
A. Diminuição de falsos negativos
B. Aumento de falsos positivos
C. Diminuição de falsos positivos
D. Aumento de falsos negativos
Ver resposta
Resposta correta: D
Pergunta #11
Qual dos seguintes é o risco de segurança MAIS significativo no gerenciamento de ativos de TI?
A. Os ativos de TI não registrados não podem ser incluídos na documentação de segurança
B. Os ativos de TI não registrados podem não estar configurados adequadamente
C. Os ativos de TI podem ser usados pela equipe para fins particulares
D. Os ativos de TI não registrados podem não receber suporte
Ver resposta
Resposta correta: B
Pergunta #12
Qual das opções a seguir seria MAIS útil para um gerente de segurança da informação encarregado de aplicar padrões de senha aprimorados?
A. Implementar um sistema centralizado de gerenciamento de identidade
B. Reeducar os usuários finais sobre a criação de senhas fortes e complexas
C. Implementação de controles técnicos de senha para incluir uma complexidade forte
D. Realização de testes de força de senha
Ver resposta
Resposta correta: C
Pergunta #13
Uma organização decidiu implementar um sistema de gerenciamento de eventos e informações de segurança (SIEM). É MUITO importante que a organização considere
A. propriedade dos dados
B. fontes de registro
C. avaliações de ameaças
D. Práticas recomendadas do setor
Ver resposta
Resposta correta: B
Pergunta #14
Logo após a instalação, um sistema de detecção de intrusão (DS) relata uma violação.
A. Ocorreu uma intrusão
B. Ocorreu um download de rotina do arquivo de assinatura do IDS
C. A violação é um falso positivo
D. Ocorreu um upload de arquivo de registro de IDS de rotina
Ver resposta
Resposta correta: C
Pergunta #15
Qual das opções a seguir é a MAIS provável de ocorrer após uma campanha de conscientização de segurança?
A. Uma diminuição no número de bloqueios de contas
B. Um aumento no número de vírus detectados em e-mails recebidos
C. Uma diminuição nos incidentes de falsos positivos relatados pelo usuário
D. Um aumento nas tentativas de engenharia social relatadas
Ver resposta
Resposta correta: C
Pergunta #16
Qual das seguintes opções deve ser a consideração MAIS importante ao implementar uma estrutura de segurança da informação?
A. Requisitos de conformidade
B. Apetite ao risco
C. Achados de auditoria
D. Capacidades técnicas
Ver resposta
Resposta correta: A
Pergunta #17
O PRINCIPAL motivo para um gerente de segurança da informação monitorar as mudanças no nível do setor nos negócios e na TI é
A. atualizar as políticas de segurança da informação de acordo com as mudanças
B. Identificar as mudanças no ambiente de risco
C. avaliar o efeito das mudanças nos níveis de risco residual
D. alterar os objetivos comerciais com base no impacto potencial
Ver resposta
Resposta correta: B
Pergunta #18
Um programa de gerenciamento de riscos será MAIS eficaz quando
A. as unidades de negócios estão envolvidas nas avaliações de risco
B. as avaliações de risco são repetidas periodicamente
C. as avaliações de risco são conduzidas por terceiros
D. O apetite pelo risco é mantido por um longo período
Ver resposta
Resposta correta: A
Pergunta #19
Um gerente de segurança da informação foi solicitado a integrar a segurança ao ciclo de vida de desenvolvimento de software (SDLC) depois que os requisitos já foram coletados. Nessa situação, em que fase a integração seria MAIS eficaz?
A. Teste de penetração
B. Análise de garantia de qualidade
C. Revisão de código
D. Teste de aceitação do usuário
Ver resposta
Resposta correta: B
Pergunta #20
Uma unidade de negócios está preparando o caso de negócios para adquirir uma solução de comércio eletrônico. Qual dos itens a seguir deve ser fornecido pelo gerente de segurança da informação?
A. Uma análise de custo-benefício da solução a ser adquirida
B. Requisitos de treinamento da equipe de segurança da informação para apoiar a solução
C. Uma análise dos requisitos de segurança da solução
D. Uma avaliação do retorno sobre o investimento (ROI) da solução a ser adquirida
Ver resposta
Resposta correta: C
Pergunta #21
Qual das seguintes opções MELHOR possibilita uma governança eficaz da segurança da informação?
A. Cultura corporativa consciente da segurança
B. Tecnologias avançadas de segurança
C. Avaliações periódicas de vulnerabilidade
D. Métricas de segurança da informação estabelecidas
Ver resposta
Resposta correta: A
Pergunta #22
Qual das opções a seguir fornece a MELHOR indicação de que o programa de segurança da informação está alinhado com os requisitos da empresa?
A. Os objetivos da estratégia de segurança são definidos em termos comerciais
B. Existe um comitê de governança de TI
C. O gerente de segurança da informação se reporta ao diretor executivo
D. A estratégia de segurança é comparada com organizações semelhantes
Ver resposta
Resposta correta: A
Pergunta #23
Qual das opções a seguir é a MELHOR maneira de determinar se um programa de segurança da informação está alinhado com a governança corporativa?
A. Analisar o balanced scorecard
B. Avaliar o financiamento das iniciativas de segurança
C. Revisar as políticas de segurança da informação
D. Pesquisar os usuários finais sobre governança corporativa
Ver resposta
Resposta correta: A
Pergunta #24
Qual das opções a seguir é MAIS útil para alinhar as operações de segurança com a estrutura de governança de TI?
A. Política de segurança da informação
B. Análise de impacto nos negócios (BIA)
C. Programa de operações de segurança
D. Avaliação de riscos de segurança
Ver resposta
Resposta correta: D
Pergunta #25
Para integrar a segurança aos processos do ciclo de vida de desenvolvimento de sistemas (SDLC), uma organização DEVE garantir que a segurança..:
A. As funções e responsabilidades foram definidas
B. as métricas de desempenho foram atendidas
C. está representado no quadro de controle de configuração
D. é um pré-requisito para a conclusão das fases principais
Ver resposta
Resposta correta: D
Pergunta #26
Qual das seguintes é uma responsabilidade PRIMÁRIA de um comitê diretor de segurança da informação?
A. Aprovar a estratégia de treinamento de conscientização sobre segurança da informação
B. Aprovar a compra de tecnologias de segurança da informação
C. Revisar a estratégia de segurança da informação
D. Analisar as revisões de conformidade da política de segurança da informação
Ver resposta
Resposta correta: C
Pergunta #27
Qual das seguintes é a consideração MAIS importante em um programa BYOD (traga seu próprio dispositivo) para proteger os dados da empresa em caso de perda?
A. A capacidade de restringir aplicativos não aprovados
B. A capacidade de classificar tipos de dispositivos
C. A capacidade de localizar dispositivos remotamente
D. A capacidade de gerenciar dispositivos de forma centralizada
Ver resposta
Resposta correta: D
Pergunta #28
Ao realizar um teste de um plano de continuidade de negócios (BCP), qual das seguintes opções é a consideração MAIS importante?
A. O teste envolve os membros de TI no processo de teste
B. O teste aborda os componentes críticos
C. O teste é programado para reduzir o impacto operacional
D. O teste simula condições reais de processamento em horário nobre
Ver resposta
Resposta correta: B
Pergunta #29
Qual das opções a seguir oferece a MAIOR garantia de que a segurança das informações é abordada no gerenciamento de mudanças?
A. Revisão das alterações sob a perspectiva da segurança
B. Exigir a aprovação da gerência sênior no gerenciamento de mudanças
C. Realizar uma auditoria de segurança nas mudanças
D. Fornecer treinamento de segurança para o conselho consultivo de mudanças
Ver resposta
Resposta correta: A
Pergunta #30
Qual dos itens a seguir deve ser de MAIOR influência para um gerente de segurança da informação ao desenvolver políticas de segurança de TI?
A. Conformidade com os regulamentos
B. Ameaças passadas e atuais
C. Estrutura de segurança de TI
D. Estratégia de negócios
Ver resposta
Resposta correta: A
Pergunta #31
Um sistema de aplicativo de folha de pagamento aceita IDs de logon de usuários individuais e, em seguida, conecta-se ao seu banco de dados usando um único ID de aplicativo. O maior ponto fraco dessa arquitetura de sistema é que
A. um incidente envolvendo acesso não autorizado a dados não pode ser vinculado a um usuário específico
B. Quando várias sessões com o mesmo ID de aplicativo colidem, o banco de dados é bloqueado
C. o banco de dados fica indisponível se a senha do ID do aplicativo expirar
D. Os usuários podem obter acesso direto ao ID do aplicativo e burlar os controles de dados
Ver resposta
Resposta correta: A
Pergunta #32
Qual das opções a seguir fornece a MELHOR indicação de alinhamento estratégico entre o programa de segurança da informação de uma organização e os objetivos comerciais?
A. Principais indicadores de risco (KRIs)
B. Uma análise de impacto nos negócios (BIA)
C. Relatórios de auditoria de segurança
D. Um balanced scorecard
Ver resposta
Resposta correta: D
Pergunta #33
Qual das opções a seguir MELHOR garantiria que a avaliação de riscos de segurança fosse integrada ao ciclo de vida dos principais projetos de TI?
A. Ter o gerente de segurança da informação participando dos comitês de direção do projeto
B. Aplicar padrões globais de segurança aos projetos de TI
C. Treinar os gerentes de projeto na avaliação de riscos
D. Integrar a avaliação de riscos ao programa de auditoria interna
Ver resposta
Resposta correta: B
Pergunta #34
Qual das opções a seguir é a MAIS importante a ser considerada ao desenvolver um caso de negócios para apoiar o investimento em um programa de segurança da informação?
A. Suporte da gerência sênior
B. Resultados de uma análise de custo-benefício
C. Resultados de uma avaliação de risco
D. Impacto no perfil de risco
Ver resposta
Resposta correta: B
Pergunta #35
O que é MAIS importante ao contratar uma parte externa para realizar um teste de penetração?
A. Fornecer documentação da rede
B. Definir o escopo do projeto
C. Aumentar a frequência das revisões de registros
D. Obter aprovação da gerência de TI
Ver resposta
Resposta correta: D
Pergunta #36
Qual das opções a seguir é a maneira MAIS confiável de garantir que os incidentes de segurança de rede sejam identificados o mais rápido possível?
A. Realizar workshops e sessões de treinamento com usuários finais
B. Coletar e correlacionar os registros de eventos da infraestrutura de TI
C. Treinar a equipe do help desk para identificar e priorizar incidentes de segurança
D. Instalar firewalls de inspeção com estado
Ver resposta
Resposta correta: B
Pergunta #37
Foi lançado um patch validado para tratar de uma nova vulnerabilidade que pode afetar um servidor de missão crítica.
A. Colocar o servidor off-line e instalar o patch
B. Adicionar controles de atenuação
C. Verificar a segurança do servidor e instalar o patch
D. Realizar uma análise de impacto
Ver resposta
Resposta correta: D
Pergunta #38
Uma unidade de negócios central depende de um sistema legado eficaz que não atende aos padrões de segurança atuais e ameaça a rede corporativa. Qual das seguintes opções é a MELHOR forma de agir para resolver a situação?
A. Desconectar o sistema legado do restante da rede
B. Exigir a implementação de novos sistemas que atendam aos padrões
C. Desenvolver processos para compensar as deficiências
D. Documentar as deficiências no registro de riscos
Ver resposta
Resposta correta: C
Pergunta #39
Qual das opções a seguir MELHOR possibilitaria uma tomada de decisão eficaz?
A. Estimativas de perdas anualizadas determinadas a partir de eventos de segurança anteriores
B. Um processo consistente para analisar riscos de informações novas e históricas
C. Uma lista universalmente aplicada de ameaças, impactos e vulnerabilidades genéricas
D. Aceitação formalizada da análise de risco pela gerência de negócios
Ver resposta
Resposta correta: B
Pergunta #40
O motivo MAIS importante para manter métricas para as atividades de resposta a incidentes é
A. garantir que a coleta e a preservação de evidências sejam padronizadas
B. Evitar a recorrência de incidentes
C. apoiar a melhoria contínua do processo
D. analisar as tendências de incidentes de segurança
Ver resposta
Resposta correta: C
Pergunta #41
Foi detectado um incidente em que os registros de clientes foram alterados sem autorização. A MAIOR preocupação para a análise forense seria que os dados de registro:
A. pode ser modificado
B. pode estar temporariamente disponível
C. pode não estar sincronizado com o tempo
D. foi divulgado
Ver resposta
Resposta correta: A
Pergunta #42
Qual das seguintes é a PRINCIPAL preocupação ao proteger as tecnologias emergentes?
A. Integração com os controles de acesso existentes
B. Compatibilidade com sistemas legados
C. Aplicação dos padrões corporativos de proteção
D. Vulnerabilidades desconhecidas
Ver resposta
Resposta correta: A
Pergunta #43
Um gerente de segurança da informação fica sabendo de um novo padrão internacional relacionado à segurança da informação.
A. Determinar se a organização pode se beneficiar da adoção da nova norma
B. Consultar a assessoria jurídica sobre a aplicabilidade da norma aos regulamentos
C. Realizar uma análise de lacunas entre a nova norma e as práticas existentes
D. Analisar as respostas dos colegas do setor à nova norma
Ver resposta
Resposta correta: C
Pergunta #44
Uma organização está considerando uma solução de autoatendimento para a implementação de servidores de desenvolvimento virtualizados. Qual das seguintes opções deve ser a preocupação PRIMÁRIA do gerente de segurança da informação?
A. Capacidade de manter a linha de base de segurança do servidor
B. Geração de registros de eventos de segurança excessivos
C. Segregação de servidores do ambiente de produção
D. Capacidade de manter-se atualizado com os patches
Ver resposta
Resposta correta: A
Pergunta #45
Durante uma revisão para aprovar um plano de teste de penetração, qual das seguintes opções deve ser a preocupação PRIMÁRIA de um gerente de segurança da informação?
A. Desvio do escopo pela equipe de teste de penetração
B. Alarmes falsos positivos para a equipe de operações
C. Impacto nos sistemas de produção
D. Acesso não autorizado a utilitários administrativos
Ver resposta
Resposta correta: C
Pergunta #46
Qual dos seguintes é o MELHOR motivo para atrasar a aplicação de um patch de segurança crítico?
A. Conflitos com o ciclo de vida de desenvolvimento de software (SDLC)
B. Interdependências tecnológicas
C. Falta de gerenciamento de vulnerabilidades
D. Limitações de recursos
Ver resposta
Resposta correta: B
Pergunta #47
Qual das opções a seguir minimizará de forma mais eficaz a chance de divulgação inadvertida de informações confidenciais?
A. Seguir o princípio do menor privilégio
B. Restringir o uso de mídia removível
C. Aplicar penalidades para violações da política de segurança
D. Aplicar regras de classificação de dados
Ver resposta
Resposta correta: A
Pergunta #48
O data center de uma organização de hospedagem de dados abriga servidores, aplicativos e dados para um grande número de clientes geograficamente dispersos. Qual das seguintes estratégias é a MELHOR abordagem para desenvolver uma política de controle de acesso físico para a organização?
A. Realize uma avaliação de riscos para determinar os riscos de segurança e os controles de atenuação
B. Desenvolva requisitos de controle de acesso para cada sistema e aplicativo
C. Projete um login único ou acesso federado
D. Analisar as políticas de segurança dos clientes
Ver resposta
Resposta correta: B
Pergunta #49
As políticas de segurança da informação devem ser elaboradas PRIMARIAMENTE com base em
A. demandas comerciais
B. padrões internacionais
C. riscos comerciais
D. Riscos inerentes
Ver resposta
Resposta correta: C
Pergunta #50
Qual das opções a seguir deve ser a MAIS preocupante para um gerente de segurança da informação que está analisando o programa de classificação de dados de uma organização?
A. O programa permite a concessão de exceções
B. As classificações não seguem as práticas recomendadas do setor
C. Os requisitos de retenção de dados não são definidos
D. A rotulagem não é consistente em toda a organização
Ver resposta
Resposta correta: D
Pergunta #51
A maneira MAIS eficaz de determinar os recursos necessários para as equipes internas de resposta a incidentes é.
A. Testar os recursos de resposta com cenários de eventos
B. solicitar orientação de consultores de gerenciamento de incidentes
C. determinar o escopo e o estatuto da resposta a incidentes
D. Comparar com outros programas de gerenciamento de incidentes
Ver resposta
Resposta correta: A
Pergunta #52
O principal motivo para usar métricas de segurança da informação é
A. Cumprir os requisitos legais e regulamentares
B. garantir o alinhamento com os requisitos corporativos
C. monitorar a eficácia dos controles
D. obter o compromisso da gerência sênior
Ver resposta
Resposta correta: C
Pergunta #53
As atividades de identificação, análise e mitigação de riscos podem ser melhor integradas aos processos do ciclo de vida do negócio, vinculando-as a:
A. gerenciamento de mudanças
B.
C. Gerenciamento de configuração
D. Planejamento de continuidade
Ver resposta
Resposta correta: A
Pergunta #54
O principal motivo para definir as funções e responsabilidades da equipe de segurança da informação em uma organização é
A. reforçar a necessidade de treinamento
B. Aplicar a responsabilidade individual
C. Cumprir a política de segurança
D. Aumentar a responsabilidade corporativa
Ver resposta
Resposta correta: B
Pergunta #55
Quando um incidente crítico não pode ser contido em tempo hábil e o sistema afetado precisa ser colocado off-line, qual das seguintes partes interessadas DEVE receber comunicação prioritária?
A. Proprietário do processo de negócios
B. Usuários finais do sistema
C. Gerência sênior
D. Administrador do sistema
Ver resposta
Resposta correta: A
Pergunta #56
A MELHOR maneira de garantir que os esforços e as iniciativas de segurança da informação continuem a apoiar a estratégia corporativa é
A. realizar auditorias internas periódicas do programa de segurança da informação
B. realizar benchmarking com as melhores práticas do setor
C. incluir métricas de segurança da informação nas métricas organizacionais
D. incluir o CIO no comitê diretor de segurança da informação
Ver resposta
Resposta correta: C

View The Updated ISACA Exam Questions

SPOTO Provides 100% Real ISACA Exam Questions for You to Pass Your ISACA Exam!

Get ISACA Practice Test

Ver as respostas após o envio

Por favor, envie seu e-mail e WhatsApp para obter respostas às perguntas.

Observação: certifique-se de que seu ID de e-mail e Whatsapp sejam válidos para que você possa obter os resultados corretos do exame.

E-mail:
WhatsApp/número de telefone:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.