NÃO QUER PERDER NADA?

Dicas para passar no exame de certificação

Últimas notícias sobre exames e informações sobre descontos

Curadoria e atualizada por nossos especialistas

Sim, me envie o boletim informativo

Últimos testes práticos CISM e lixeiras de exame 2024, Certified Information Security Manager | SPOTO

Prepare-se de forma abrangente para o exame ISACA CISM com os nossos mais recentes testes práticos CISM e dumps de exame para 2024. Nossos materiais meticulosamente selecionados cobrem tópicos importantes, incluindo governança de segurança da informação, gerenciamento de riscos, gerenciamento de incidentes e conformidade regulamentar, garantindo que você esteja totalmente preparado para o exame. Acesse nossos recursos abrangentes de preparação para o exame, incluindo perguntas e respostas do exame, para aprimorar suas habilidades e conhecimentos. Diga adeus às fontes não fiáveis e adopte uma prática de exame fiável com o SPOTO. Com o nosso simulador de exame, pode simular o ambiente de exame e aperfeiçoar as suas estratégias de exame de forma eficaz. Quer necessite de exemplos de perguntas ou de exames simulados, o SPOTO fornece-lhe as ferramentas de que necessita para ter sucesso. Comece com o nosso teste gratuito para experimentar a qualidade dos nossos testes práticos em primeira mão e elevar a sua preparação para o exame para o próximo nível.
Faça outros exames online

Pergunta #1
Uma organização tem um processo em vigor que envolve a utilização de um fornecedor. Uma avaliação de risco foi concluída durante o desenvolvimento do processo. Um ano após a implementação, foi tomada uma decisão monetária para utilizar um fornecedor diferente. O que deve acontecer, se é que deve acontecer alguma coisa?
A. Nada, uma vez que foi efectuada uma avaliação dos riscos durante o desenvolvimento
B. Deve ser efectuada uma avaliação da vulnerabilidade
C. Deve ser efectuada uma nova avaliação dos riscos
D. O relatório SAS 70 tipo II do novo fornecedor deve ser revisto
Ver resposta
Resposta correta: C
Pergunta #2
Nas aplicações críticas para as empresas, em que é necessário o acesso partilhado a privilégios elevados por um pequeno grupo, a MELHOR abordagem para implementar uma separação adequada de funções é
A. garantir que o acesso a funções individuais só pode ser concedido a utilizadores individuais
B. implementar o controlo de acesso baseado em funções na aplicação
C. Aplicar procedimentos manuais que garantam a separação de tarefas conflituosas
D. criar contas de serviço que só podem ser utilizadas por membros autorizados da equipa
Ver resposta
Resposta correta: B
Pergunta #3
Na avaliação de riscos, após a identificação das ameaças aos activos da organização, o gestor da segurança da informação deve
A. Avaliar os controlos atualmente em vigor
B. implementar controlos para atingir os níveis de risco pretendidos
C. solicitar financiamento para o programa de segurança
D. determinar as ameaças que devem ser comunicadas à direção superior
Ver resposta
Resposta correta: A
Pergunta #4
As avaliações dos riscos de segurança devem abranger apenas os activos de informação que
A. são classificados e etiquetados
B. estão dentro da organização
C. apoiar os processos empresariais
D. ter um valor tangível
Ver resposta
Resposta correta: A
Pergunta #5
A vantagem da ligação em túnel da Rede Privada Virtual (VPN) para utilizadores remotos é que:
A. ajuda a garantir que as comunicações são seguras
B. Aumenta a segurança entre sistemas multicamadas
C. permite que as palavras-passe sejam alteradas com menos frequência
D. elimina a necessidade de autenticação secundária
Ver resposta
Resposta correta: A
Pergunta #6
A formação de sensibilização para a segurança é MAIS suscetível de conduzir a qual das seguintes situações?
A. Diminuição dos incidentes de intrusão
B. Aumento dos incidentes comunicados
C. Diminuição das alterações da política de segurança
D. Aumento das violações das regras de acesso
Ver resposta
Resposta correta: B
Pergunta #7
Um gestor de segurança da informação está a rever o business case de um projeto de segurança que está a entrar na fase de desenvolvimento. Verifica-se que o custo estimado dos controlos é agora superior ao risco que está a ser mitigado. A MELHOR recomendação do gestor de segurança da informação seria
A. eliminar alguns dos controlos do âmbito do projeto
B. interromper o projeto para libertar fundos para outros esforços
C. prosseguir o projeto até que os benefícios cubram os custos
D. abrandar o ritmo do projeto para distribuir os custos por um período mais longo
Ver resposta
Resposta correta: C
Pergunta #8
O diretor de segurança da informação (CISO) desenvolveu uma estratégia de segurança da informação, mas está a ter dificuldades em obter o compromisso da gestão sénior para os fundos de implementação da estratégia. Qual das seguintes razões é a mais provável?
A. A estratégia não inclui uma análise custo-benefício
B. O CISO reporta ao CIO
C. Houve uma falta de envolvimento com a empresa durante o desenvolvimento
D. A estratégia não está em conformidade com as normas de segurança
Ver resposta
Resposta correta: C
Pergunta #9
Uma organização planeia permitir que os funcionários utilizem os seus próprios dispositivos na rede da organização. Qual das seguintes opções é a MELHOR linha de ação do gestor de segurança da informação?
A. Implementar software automatizado
B. Avaliar o risco associado
C. Realizar acções de formação de sensibilização
D. Atualizar a política de segurança
Ver resposta
Resposta correta: B
Pergunta #10
Qual é o fator de sucesso MAIS importante no lançamento de um programa de sensibilização para a segurança da informação empresarial?
A. Apoio orçamental adequado
B. Gestão centralizada do programa
C. Abordagem descendente
D. Experiência dos formadores de sensibilização
Ver resposta
Resposta correta: C
Pergunta #11
Qual das seguintes opções é a consideração MAIS importante num programa "traga o seu próprio dispositivo" (BYOD) para proteger os dados da empresa em caso de perda?
A. A capacidade de localizar dispositivos à distância
B. A capacidade de gerir dispositivos de forma centralizada
C. A capacidade de restringir aplicações não aprovadas A capacidade de classificar tipos de dispositivos B Qual dos seguintes é o MAIOR benefício da integração dos requisitos do programa de segurança da informação na gestão de fornecedores?
D.
E.
F.
G.
Ver resposta
Resposta correta: A
Pergunta #12
Qual das seguintes opções tem o maior impacto direto na usabilidade do programa de classificação de activos de uma organização?
A. A granularidade das classificações na hierarquia
B. A frequência das actualizações do registo de riscos da organização
C. Os objectivos comerciais da organização
D. O apoio dos quadros superiores ao sistema de classificação
E.
Ver resposta
Resposta correta: A
Pergunta #13
Qual dos seguintes é o MELHOR método para fornecer a um novo utilizador a sua palavra-passe inicial para acesso ao sistema de correio eletrónico?
A. Entre em funções uma palavra-passe complexa gerada pelo sistema com 30 dias de validade
B. Fornecer uma palavra-passe fictícia por telefone para expiração imediata
C. Não exigir nenhuma palavra-passe, mas obrigar o utilizador a definir a sua própria palavra-passe no prazo de 10 dias
D. Definir a palavra-passe inicial igual ao ID de utilizador com expiração em 30 dias
Ver resposta
Resposta correta: B
Pergunta #14
Qual das seguintes deve ser a consideração PRIMÁRIA ao selecionar um local de recuperação?
A. Requisitos regulamentares
B. Objetivo do tempo de recuperação
C. Localização geográfica
D. Objetivo do ponto de recuperação
Ver resposta
Resposta correta: A
Pergunta #15
Qual das seguintes abordagens é a MELHOR para selecionar controlos para minimizar os riscos de segurança da informação?
A. Análise custo-benefício
B. Controlo-eficácia
C. Avaliação dos riscos
D. Melhores práticas do sector
Ver resposta
Resposta correta: C
Pergunta #16
Qual das seguintes opções é um passo para estabelecer uma política de segurança?
A. Desenvolvimento de linhas de base de segurança a nível da plataforma
B. Criar uma matriz RACI
C. Implementação de um processo de desenvolvimento e manutenção da política
D. Desenvolver parâmetros de configuração para a rede
Ver resposta
Resposta correta: A
Pergunta #17
Qual das seguintes medidas seria a MAIS eficaz contra as ameaças internas a informações confidenciais?
A. Controlo de acesso baseado em funções
B. Monitorização da pista de auditoria
C. Política de privacidade
D. Defesa em profundidade
Ver resposta
Resposta correta: A
Pergunta #18
Qual dos seguintes mecanismos de segurança é MAIS eficaz na proteção de dados classificados que foram encriptados para impedir a divulgação e a transmissão fora da rede da organização?
A. Configuração de firewalls
B. Força dos algoritmos de cifragem
C. Autenticação na aplicação
D. Salvaguardas sobre as chaves
Ver resposta
Resposta correta: D
Pergunta #19
Qual das seguintes é a responsabilidade PRIMÁRIA de um gestor de segurança da informação numa organização que está a implementar a utilização de dispositivos móveis da empresa nas suas operações?
A. Exigir capacidades de limpeza remota dos dispositivos
B. Aplicar palavras-passe e encriptação de dados nos dispositivos
C. Realizar acções de formação de sensibilização para a segurança
D. Rever e atualizar as políticas de segurança existentes
Ver resposta
Resposta correta: D
Pergunta #20
Qual das seguintes opções seria a MELHOR para garantir que a avaliação dos riscos de segurança é integrada no ciclo de vida dos principais projectos de TI?
A. Integrar a avaliação do risco no programa de auditoria interna
B. Aplicação de normas de segurança globais aos projectos informáticos
C. Formação dos gestores de projectos em matéria de avaliação dos riscos
D. Ter o gestor da segurança da informação a participar nos comités de definição do projeto
Ver resposta
Resposta correta: B
Pergunta #21
A razão MAIS importante para que os sistemas de deteção de intrusões baseados em anomalias estatísticas (slat IDSs) sejam menos utilizados do que os IDSs baseados em assinaturas é que os stat IDSs:
A. criam mais sobrecarga do que os IDSs baseados em assinaturas
B. causam falsos positivos devido a pequenas alterações nas variáveis do sistema
C. geram falsos alarmes devido a acções variáveis do utilizador ou do sistema
D. não consegue detetar novos tipos de ataques
Ver resposta
Resposta correta: C
Pergunta #22
Qual é o procedimento de gestão de alterações MAIS adequado para o tratamento de alterações de emergência ao programa?
A. A documentação formal não precisa de ser concluída antes da alteração
B. A aprovação da direção da empresa deve ser obtida antes da alteração
C. A documentação é concluída com aprovação logo após a alteração
D. Todas as alterações devem seguir o mesmo processo
Ver resposta
Resposta correta: D
Pergunta #23
Um gestor de segurança da informação foi informado de uma nova vulnerabilidade numa aplicação bancária em linha e espera-se que seja lançada uma correção para resolver este problema nas próximas 72 horas. A ação MAIS importante do gestor de segurança da informação deve ser
A. avaliar o risco e aconselhar os quadros superiores
B. Identificar e aplicar controlos de atenuação
C. executar o sistema de aplicação em modo offline
D. efetuar uma análise de impacto comercial (BIA)
Ver resposta
Resposta correta: A
Pergunta #24
Uma organização enfrenta multas e penalizações graves se não estiver em conformidade com os requisitos regulamentares locais dentro de um prazo estabelecido. A direção pediu ao gestor de segurança da informação que preparasse um plano de ação para atingir a conformidade. Qual das seguintes opções forneceria a informação MAIS útil para efeitos de planeamento?
A. Resultados de uma análise das lacunas
B. Resultados de uma análise de impacto comercial
C. Prazos e sanções por incumprimento
D. Um inventário dos controlos de segurança atualmente em vigor
Ver resposta
Resposta correta: D
Pergunta #25
A direção anunciou a aquisição de uma nova empresa. O diretor de segurança da informação da empresa-mãe está preocupado com o facto de os direitos de acesso contraditórios poderem expor informações críticas durante a integração das duas empresas. Para responder da melhor forma a esta preocupação, o diretor de segurança da informação deve
A. comunicar à direção a preocupação com direitos de acesso contraditórios
B. Aplicar normas de controlo de acesso coerentes
C. rever os direitos de acesso à medida que ocorre a integração da aquisição
D. efetuar uma avaliação dos riscos dos direitos de acesso
Ver resposta
Resposta correta: A
Pergunta #26
Qual dos seguintes é o risco de segurança MAIS significativo na gestão de activos de TI?
A. Os bens informáticos podem ser utilizados pelo pessoal para fins privados
B. Os activos informáticos não registados não podem ser suportados
C. Os activos informáticos não registados não podem ser incluídos na documentação de segurança
D. Os activos informáticos não registados podem não estar configurados corretamente
Ver resposta
Resposta correta: A
Pergunta #27
Qual das seguintes é a etapa MAIS importante na classificação dos riscos?
A. Avaliação do impacto
B. Custos de atenuação
C. Avaliação da ameaça
D. Análise de vulnerabilidade
Ver resposta
Resposta correta: A
Pergunta #28
C.
A.
B.
C.
Ver resposta
Resposta correta: D
Pergunta #29
Qual das seguintes tarefas deve ser realizada depois de um plano de recuperação de desastres ter sido desenvolvido?
A. Analisar o impacto comercial
B. Definir as funções da equipa de resposta
C. Desenvolver o plano de teste
D. Identificar objectivos de tempo de recuperação
Ver resposta
Resposta correta: B
Pergunta #30
Qual das seguintes é a consideração MAIS importante quando se trata de proteger os dados do cartão de crédito do cliente adquiridos por uma caixa registadora de ponto de venda (POS)?
A. Autenticação
B. Endurecimento
C. Encriptação
D. Não repúdio
Ver resposta
Resposta correta: C
Pergunta #31
A MELHOR altura para garantir que uma empresa adquire produtos de software seguros quando subcontrata o desenvolvimento de software é durante:
A. revisões de segurança corporativa
B. auditorias de execução dos contratos
C. negociação de contratos
D. desenvolvimento de políticas de segurança
Ver resposta
Resposta correta: B
Pergunta #32
Qual dos seguintes itens é o MAIS importante a incluir na elaboração de contratos de alojamento Web com fornecedores terceiros?
A. Condições de cessação
B. Limites de responsabilidade
C. Níveis de serviço
D. Restrições de privacidade
Ver resposta
Resposta correta: C
Pergunta #33
Ao desenvolver uma estratégia de segurança da informação, o requisito MAIS importante é que:
A. As normas captam a intenção da direção
B. É elaborado um calendário para atingir os objectivos
C. O resultado desejado é conhecido
D. são desenvolvidos factores críticos de sucesso (CSFs)
Ver resposta
Resposta correta: B
Pergunta #34
A utilização segura de uma aplicação de comércio eletrónico pelo cliente pode ser realizada da melhor forma possível:
A. encriptação de dados
B. assinaturas digitais
C. palavras-passe fortes
D. autenticação de dois factores
Ver resposta
Resposta correta: A
Pergunta #35
Os bons procedimentos de segurança da informação devem:
A. Definir os limites permitidos de comportamento
B. Sublinhar a importância da governação da segurança
C. descrever as linhas de base de segurança para cada plataforma
D. ser atualizado frequentemente à medida que é lançado novo software
Ver resposta
Resposta correta: B
Pergunta #36
Qual dos seguintes documentos seria a MELHOR referência para determinar se os mecanismos de controlo de acesso são adequados para uma aplicação crítica?
A. Procedimentos de segurança do utilizador
B. Fluxo do processo comercial
C. Política de segurança informática
D. Requisitos regulamentares
Ver resposta
Resposta correta: C
Pergunta #37
Um parceiro de negócios de uma fábrica tem acesso remoto só de leitura ao inventário de materiais para prever futuras encomendas de aquisição. Um gestor de segurança da informação deve PRIMARIAMENTE garantir que existe:
A. um controlo eficaz da conetividade e da continuidade
B. um acordo de nível de serviço (SLA) que inclua o depósito de código
C. uma análise de impacto comercial (BIA)
D. uma certificação de terceiros
Ver resposta
Resposta correta: B
Pergunta #38
Qual das seguintes é a razão PRINCIPAL para efetuar regularmente uma análise do panorama de ameaças?
A. Determinar a base para propor um aumento dos orçamentos de segurança
B. Determinar se os planos de continuidade das actividades existentes são adequados
C. Para determinar se as vulnerabilidades existentes representam um risco
D. Determinar informações críticas para a gestão executiva
Ver resposta
Resposta correta: C
Pergunta #39
Qual dos seguintes seria o risco de segurança MAIS significativo numa instituição farmacêutica?
A. Informações sobre clientes comprometidas
B. Indisponibilidade de transacções em linha
C. Roubo de fichas de segurança
D. Roubo de um computador portátil de investigação e desenvolvimento
Ver resposta
Resposta correta: B
Pergunta #40
Qual das seguintes opções deve um gestor de segurança da informação efetuar PRIMEIRO quando o risco residual de uma organização tiver aumentado?
A. Aplicar medidas de segurança para reduzir o risco
B. Comunicar as informações aos quadros superiores
C. Transferir o risco para terceiros
D. Avaliar o impacto comercial
Ver resposta
Resposta correta: D
Pergunta #41
Qual dos seguintes é o controlo MAIS prático que uma organização pode implementar para impedir a transferência não autorizada de dados para dispositivos de armazenamento USB (Universal Serial Bus)?
A. Autenticação de dois factores
B. Restringir a utilização da unidade
C. Encriptação forte
D. Ação disciplinar
Ver resposta
Resposta correta: A
Pergunta #42
Um gestor de segurança da informação está a ajudar no desenvolvimento do pedido de proposta (RFP) para um novo serviço subcontratado. Este serviço exigirá que o terceiro tenha acesso a informações comerciais críticas. O gestor de segurança deve concentrar-se PRIMARIAMENTE na definição:
A. métricas de segurança
B. Acordos de nível de serviço (SLA)
C. metodologias de comunicação de riscos
D. requisitos de segurança para o processo que está a ser externalizado
Ver resposta
Resposta correta: A
Pergunta #43
Uma organização com uma política rigorosa de acesso à informação "precisa de saber" está prestes a lançar uma intranet de gestão do conhecimento. Qual das seguintes é a atividade MAIS importante para garantir a conformidade com as políticas de segurança existentes?
A. Desenvolver um procedimento de controlo para verificar o conteúdo antes da sua publicação
B. Alterar a política da organização para permitir uma maior utilização do novo sítio Web
C. Assegurar que o acesso ao sítio Web é limitado aos gestores de topo e ao conselho de administração
D.
E.
F.
G.
Ver resposta
Resposta correta: C
Pergunta #44
Qual das seguintes opções define os accionadores de um plano de continuidade da atividade (PCN)?
A. Plano de recuperação de desastres
B. Necessidades da organização
C. Análise das lacunas
D. Política de segurança da informação
Ver resposta
Resposta correta: D
Pergunta #45
O departamento de marketing de uma organização pretende utilizar um serviço de colaboração em linha que não está em conformidade com a política de segurança da informação. É efectuada uma avaliação do risco e a aceitação do risco está a ser procurada. A aprovação da aceitação do risco deve ser fornecida por:
A. o diretor de segurança da informação
B. direção de empresas
C. o diretor de riscos
D. o responsável pela conformidade
Ver resposta
Resposta correta: D
Pergunta #46
Ao implementar a arquitetura de segurança, um gestor de segurança da informação DEVE garantir que os controlos de segurança:
A. formar barreiras múltiplas contra as ameaças
B. são transparentes
C. são os mais baratos
D. são comunicados através de políticas de segurança
Ver resposta
Resposta correta: C
Pergunta #47
Ao desenvolver processos de segurança para o tratamento de dados de cartões de crédito no sistema de informação da unidade de negócio, o gestor de segurança da informação deve PRIMEIRO:
A. rever as políticas da empresa relativamente a informações sobre cartões de crédito
B. implementar os requisitos de segurança das empresas de cartões de crédito
C. garantir que os sistemas que lidam com dados de cartões de crédito são segmentados
D. analisar as melhores práticas do sector para o tratamento de pagamentos seguros
Ver resposta
Resposta correta: A
Pergunta #48
Qual das seguintes opções é a MAIS importante para um programa de segurança da informação bem-sucedido? Formação adequada em tecnologias de segurança emergentes
A.
B.
C.
Ver resposta
Resposta correta: D
Pergunta #49
Pede-se a um gestor de segurança da informação que forneça provas de que a organização está a cumprir a sua obrigação legal de proteger as informações de identificação pessoal (PII). Qual das seguintes opções seria a MAIS útil para este fim?
A. Métricas relacionadas com a eficácia do programa
B. Políticas e normas escritas
C. Formação de sensibilização para a privacidade
D. Avaliações de risco das aplicações relacionadas com a privacidade
Ver resposta
Resposta correta: S
Pergunta #50
O risco de um tratamento incorreto dos alertas identificados por um sistema de deteção de intrusões (IDS) seria MAIOR quando:
A. os procedimentos operacionais normalizados não estão formalizados
B. a infraestrutura de TI é diversificada
C. Os sensores IDS estão mal configurados
D. As operações e a monitorização são geridas por equipas diferentes
Ver resposta
Resposta correta: A
Pergunta #51
Qual das seguintes é a MELHOR forma de determinar se o risco atual de uma organização está dentro da apetência pelo risco?
A. Realização de uma análise de impacto comercial (BIA)
B. Implementação de indicadores-chave de desempenho (KPIs)
C. Implementação de indicadores-chave de risco (KRIs)
D. Desenvolvimento de controlos adicionais de atenuação
Ver resposta
Resposta correta: A
Pergunta #52
Qual é o elemento MAIS importante a incluir no desenvolvimento de material de sensibilização para a segurança dos utilizadores?
A. Informações relativas à engenharia social
B. Políticas de segurança pormenorizadas
C. Aprovação dos quadros superiores
D. Informações fáceis de ler e convincentes
Ver resposta
Resposta correta: C
Pergunta #53
Qual das seguintes é a MELHOR abordagem para tomar decisões estratégicas de segurança da informação?
A. Criar um comité diretor de segurança da informação
B. Estabelecer reuniões periódicas com os quadros superiores
C. Elaborar relatórios regulares sobre o estado da segurança da informação
D.
E.
F.
G.
Ver resposta
Resposta correta: B
Pergunta #54
Qual das seguintes opções um gestor de segurança estabeleceria para determinar o objetivo da restauração do processamento normal?
A. Objetivo do tempo de recuperação (RTO)
B.
C.
Ver resposta
Resposta correta: A
Pergunta #55
Uma organização teve recentemente acesso não autorizado a dispositivos na sua rede. Para gerir proactivamente o problema e mitigar este risco, o MELHOR controlo preventivo seria
A. manter um inventário dos endereços de rede e de hardware de todos os sistemas ligados à rede
B. Instalar uma firewall de inspeção com estado para impedir o tráfego de rede não autorizado
C. implementar a autenticação e o início de sessão a nível da rede para regular o acesso dos dispositivos à rede
D. implementar uma ferramenta automatizada de descoberta de inventário de activos para identificar os dispositivos que acedem à rede
Ver resposta
Resposta correta: C
Pergunta #56
Qual das seguintes opções deve ser estabelecida entre um fornecedor de serviços de TI e os seus clientes para permitir a continuidade adequada do serviço na preparação para uma falha?
A. Políticas de conservação de dados
B. Planos de manutenção do servidor
C. Objectivos de tempo de recuperação
D. Acordo de sítio recíproco
Ver resposta
Resposta correta: B
Pergunta #57
Ao efetuar uma análise do risco da informação, o gestor da segurança da informação deve PRIMEIRO: determinar a propriedade dos activos.
A.
B.
C.
Ver resposta
Resposta correta: C
Pergunta #58
A. Um patch não crítico do sistema operativo (SO) para melhorar a segurança do sistema não pode ser aplicado porque uma aplicação crítica não é compatível com a alteração. Qual das seguintes opções é a MELHOR solução? Reescrever a aplicação para estar em conformidade com o sistema operativo atualizado
A.
B.
C.
Ver resposta
Resposta correta: B
Pergunta #59
Um gestor de segurança da informação foi recentemente notificado de potenciais riscos de segurança associados a um fornecedor de serviços externo. O que é que deve ser feito no futuro para responder a esta preocupação?
A. Efetuar uma análise de risco
B. Encaminhar para o diretor de riscos
C. Efetuar uma análise de vulnerabilidade
D. Determinar os controlos de compensação
Ver resposta
Resposta correta: A

Ver as respostas após o envio

Por favor, envie seu e-mail e WhatsApp para obter respostas às perguntas.

Observação: certifique-se de que seu ID de e-mail e Whatsapp sejam válidos para que você possa obter os resultados corretos do exame.

E-mail:
WhatsApp/número de telefone: