NÃO QUER PERDER NADA?

Dicas para passar no exame de certificação

Últimas notícias sobre exames e informações sobre descontos

Curadoria e atualizada por nossos especialistas

Sim, me envie o boletim informativo

Perguntas e respostas reais sobre o exame ISACA CRISC e testes práticos

Preparar-se de forma eficaz para o exame ISACA CRISC (Certified in Risk and Information Systems Control) é essencial para os profissionais que desejam aprimorar suas credenciais. Nossos materiais de estudo de alta qualidade, com perguntas e respostas reais do exame, oferecem uma visão aprofundada dos tópicos e conceitos críticos abordados no exame ISACA CRISC. Essas questões práticas são especificamente projetadas para simular o ambiente do exame real, garantindo que você obtenha uma experiência prática que aumente sua confiança e seu conhecimento. Nossos testes práticos são parte integrante do processo de preparação, permitindo que você avalie seu conhecimento e sua prontidão para o exame. Cada conjunto de questões práticas foi criado para refletir a estrutura e o rigor do exame ISACA CRISC, proporcionando não apenas um desafio, mas também uma poderosa ferramenta de aprendizado. Ao testar-se rotineiramente com esses materiais, você poderá identificar as áreas em que é necessário estudar mais e melhorar sua compreensão do gerenciamento de riscos e do controle de sistemas de informação. Investir tempo na análise dessas perguntas e testes práticos aprimorará sua capacidade de gerenciar riscos de sistemas de informação e o ajudará a obter a Certificação CRISC. As perguntas e respostas reais do exame incluídas em nossos materiais de estudo foram atualizadas para se alinharem aos padrões mais recentes do exame, oferecendo a você a preparação mais relevante e prática disponível. Equipe-se com nossos materiais de estudo elaborados por especialistas para garantir seu sucesso no exame ISACA CRISC e dê um passo significativo para se tornar um Certified in Risk and Information Systems Control.
Faça outros exames online
Pergunta #1
Qual dos itens a seguir se qualificaria como um indicador-chave de desempenho {KPI}?
A. Número de ataques contra o site da organização
B. número de vulnerabilidades identificadas no sistema
C. risco agregado da organização
D. número de solicitações de exceção processadas nos últimos 10 dias
Ver resposta
Resposta correta: B

View The Updated CRISC Exam Questions

SPOTO Provides 100% Real CRISC Exam Questions for You to Pass Your CRISC Exam!

Get CRISC Practice Test
Pergunta #2
Qual das seguintes é a responsabilidade mais importante de um proprietário de risco?
A. Estabelecer o registro de riscos
B. Estabelecer critérios de informações comerciais
C. testar o projeto de controle
D. aceitar o risco residual
Ver resposta
Resposta correta: D
Pergunta #3
a melhor maneira de testar a eficácia operacional de um procedimento de backup de dados é:
A. inspecionar uma seleção de registros de backup e trilha de auditoria
B. Entrevistar os funcionários para comparar os procedimentos reais com os procedimentos exceto
C. conduzir uma auditoria de arquivos armazenados fora do local
D. demonstrar uma recuperação bem-sucedida de arquivos de backup
Ver resposta
Resposta correta: D
Pergunta #4
O desenvolvimento de RH de uma organização implementou uma política que exige que os membros da equipe tirem um mínimo de cinco dias consecutivos de férias por ano para reduzir o risco de atividades maliciosas internas. Qual dos seguintes é o melhor indicador-chave de desempenho (KPI) da eficácia dessa política?
A. Percentual de funcionários que buscam exceções à política
B. porcentagem de funcionários que tiram férias de acordo com a política
C. perda financeira incorrida devido a atividades maliciosas durante a licença dos funcionários
D. número de atividades maliciosas ocorridas durante as licenças dos funcionários
Ver resposta
Resposta correta: B
Pergunta #5
Um processo de gerenciamento de mudanças foi atualizado recentemente com novos procedimentos de teste. Qual é o próximo curso de ação?
A. realizar uma análise de custo-benefício para justificar o custo do controle
B. Monitorar os processos para garantir que as atualizações recentes estejam sendo seguidas
C. avaliar a maturidade do processo de gerenciamento de mudanças
D. comunicar àqueles que testam e promovem as mudanças
Ver resposta
Resposta correta: B
Pergunta #6
Qual dos seguintes é o controle mais eficaz para manter a integridade dos arquivos de configuração do sistema?
A. Monitoramento em relação ao padrão de configuração
B. Registro de alterações nos arquivos de configuração
C. implementação de varredura automatizada de vulnerabilidades
D. restringir o acesso à documentação de configuração
Ver resposta
Resposta correta: A
Pergunta #7
Uma grande organização precisa relatar o risco em todos os níveis de um novo projeto centralizado para reduzir custos e melhorar o desempenho. Qual das opções a seguir representaria de forma mais eficaz o risco geral do projeto para a gerência sênior?
A. Principais indicadores de risco (KPIS)
B. Principais indicadores de desempenho agregados (KPIs)
C. Mapa de calor dos riscos
D. Registro centralizado de riscos
Ver resposta
Resposta correta: C
Pergunta #8
Qual das opções a seguir é o melhor indicador da eficácia da implementação de um plano de ação de controle?
A. aumento do número de controle
B. redução do nível de risco
C. aumento do apetite pelo risco
D. comprometimento das partes interessadas
Ver resposta
Resposta correta: B
Pergunta #9
Qual dos seguintes é o controle mais eficaz para manter a integridade das áreas de confutação do sistema?
A. Monitoramento em relação ao padrão de configuração
B. Registro de alterações nos arquivos de configuração
C. implementação de varredura automatizada de vulnerabilidades
D. restringir o acesso à documentação de configuração
E. invocar o plano de resposta a incidentes estabelecido
F. realizar uma avaliação de risco imediata
Ver resposta
Resposta correta: C
Pergunta #10
Uma organização está fazendo alterações significativas em um aplicativo. Em que momento o perfil de risco do aplicativo deve ser atualizado?
A. na liberação para produção
B. durante a programação do backlog
C. durante a revisão dos requisitos funcionais
D. após o teste de aceitação do usuário (UAT)
Ver resposta
Resposta correta: C
Pergunta #11
um profissional de riscos percebe uma tendência de não conformidade, a reatividade de um plano de ação de controle seria a melhor forma de ajudar a fazer uma recomendação para
A.
B. Nível de risco reduzido
C. maior apetite por riscos
D. comprometimento das partes interessadas
Ver resposta
Resposta correta: B
Pergunta #12
Qual das seguintes opções é a melhor maneira de garantir a eficácia do controle contínuo?
A. obter atestados de controle gerencial
B. Estabelecer políticas e procedimentos
C. medir tendências no desempenho do controle
D. revisar periodicamente o projeto de controle
Ver resposta
Resposta correta: C
Pergunta #13
No modelo das três linhas de defesa, a responsabilidade pelo sistema de controle interno é de cada um:
A. o profissional de riscos
B. o gerenciamento de riscos da empresa
C. o conselho de administração
D. o diretor de informações (CIO)
Ver resposta
Resposta correta: C
Pergunta #14
Um profissional de riscos recém-contratado descobre que o registro de riscos não foi atualizado no último ano. Qual é a melhor atitude a ser tomada pelo profissional de riscos?
A. terceirizar o processo de atualização do registro de riscos
B. implementar uma melhoria no processo e substituir o antigo registro de riscos
C. identificar mudanças nos fatores de risco e iniciar revisões de risco
D. contratar um consultor externo para redesenhar o processo de gerenciamento de riscos
Ver resposta
Resposta correta: C
Pergunta #15
Qual das opções a seguir é a melhor abordagem para determinar se um plano de ação de risco é eficaz?
A. Monitorar as alterações dos principais indicadores de desempenho (KPIs)
B. avaliando as mudanças no risco residual
C. avaliar o risco inerente
D. comparando o custo de remediação com o orçamento
Ver resposta
Resposta correta: B
Pergunta #16
Quais participantes são os principais responsáveis por determinar o apetite de risco da TI corporativa?
A. gerenciamento de auditoria e conformidade
B. gerenciamento de riscos corporativos e proprietários de processos de negócios
C. o diretor de informações (CIO) e o diretor financeiro (CFO)
D. a gerência executiva e o conselho de administração
Ver resposta
Resposta correta: D
Pergunta #17
A eficácia de um controle diminuiu. Qual é o efeito mais provável sobre o risco abordado?
A. o risco residual muda
B. a classificação do risco muda
C. o impacto do risco muda
D. o risco da Internet muda
Ver resposta
Resposta correta: A
Pergunta #18
Qual das opções a seguir fornece a melhor medida do nível de maturidade do gerenciamento de riscos de uma organização?
A. nível de risco residual
B. O alinhamento da TI aos objetivos comerciais
C. o resultado de uma análise de lacunas
D. indicadores-chave de risco (KRIS)
Ver resposta
Resposta correta: B
Pergunta #19
Qual dos seguintes é o principal motivo para estabelecer a causa raiz de um incidente de segurança de TI?
A. Atribuir a responsabilidade e a capacidade de contabilização do incidente
B. Preparar um relatório para a gerência sênior
C. Atualizar o registro de riscos
D. Evitar a recorrência do incidente
Ver resposta
Resposta correta: D
Pergunta #20
Uma organização opera em uma jurisdição onde são impostas multas pesadas por vazamento de dados de clientes. Qual das opções a seguir fornece a melhor entrada para avaliar o impacto do risco inerente?
A. Número de registros de clientes mantidos
B. Número de bancos de dados que hospedam dados de clientes
C. Número de bancos de dados de clientes criptografados
D. Número de membros da equipe com acesso aos dados dos clientes
Ver resposta
Resposta correta: B
Pergunta #21
Um programa abriu uma subsidiária em um país estrangeiro. Qual das seguintes opções seria a melhor visão para medir a eficácia dos controles dos sistemas de TI da subsidiária?
A. revisar a documentação do projeto do sistema de TI
B. implementar o sistema de TI de acordo com os objetivos comerciais
C. avaliar a conformidade com os requisitos legais e regulatórios
D. revisar as métricas e os principais indicadores de desempenho (KPIs)
Ver resposta
Resposta correta: C
Pergunta #22
O que um profissional de risco deve fazer primeiro quando os resultados da avaliação de vulnerabilidade identificam um ponto fraco em um aplicativo?
A. Avaliar o risco para determinar a mitigação necessária
B. Recomendar um teste de penetração
C. Revisar os resultados dos testes de controle regulares
D. Analisar os principais indicadores de desempenho (KPIs)
Ver resposta
Resposta correta: A
Pergunta #23
O principal motivo para monitorar periodicamente os principais indicadores de risco (KRIS) é:
A. retificar erros nos resultados do KRIS
B. Detectar alterações no perfil de risco
C. reduzir os custos dos controles de mitigação de riscos
D. Melhorar continuamente as avaliações de risco
Ver resposta
Resposta correta: B
Pergunta #24
Qual das seguintes opções é a MELHOR ação de um profissional de riscos ao saber que um controle sob análise interna pode não ser mais necessário?
A. Atualizar o status do controle como obsoleto
B. Consultar o auditor interno para obter uma segunda opinião
C. Obter aprovação para retirar o controle
D. Verificar a eficácia do plano de mitigação original
Ver resposta
Resposta correta: A
Pergunta #25
Ao analisar um relatório sobre o desempenho dos processos de controle, é MAIS importante verificar se:
A. os objetivos de risco residual foram alcançados
B. O processo de controle foi projetado de forma eficaz
C. os objetivos do processo comercial foram atingidos
D. O controle está em conformidade com os padrões regulamentares
Ver resposta
Resposta correta: B
Pergunta #26
O desvio da data de conclusão do plano de ação de migração deve ser determinado pelo fim do seguinte?
A. o proprietário do risco, conforme determinado pelos processos de gerenciamento de riscos
B. Análise de benchmarking com processos completos semelhantes
C. Gerenciamento de mudanças, conforme determinado por um conselho de controle de mudanças
D. Critérios de governança do projeto, conforme determinado pelo escritório do projeto
Ver resposta
Resposta correta: A
Pergunta #27
O profissional de risco de uma organização descobre que um novo sistema de terceiros na rede corporativa introduziu vulnerabilidades que podem comprometer os sistemas de TI corporativos. O que o profissional de riscos deve fazer PRIMEIRO?
A. Solicitar à equipe de TI que remova o sistema da rede
B. Notificar o gerenciamento de segurança da informação
C. Identificar procedimentos para atenuar as vulnerabilidades
D. Confirmar as vulnerabilidades com o terceiro
Ver resposta
Resposta correta: C
Pergunta #28
Sem motivo aparente, o tempo necessário para concluir o processamento diário de um aplicativo legado está se aproximando de um limite de risco. Qual das seguintes atividades deve ser realizada PRIMEIRO?
A. Conduzir uma análise da causa-raiz
B. Aumentar temporariamente o limite de risco
C. Iniciar um estudo de viabilidade para um novo aplicativo
D. Suspender o processamento para investigar o problema
Ver resposta
Resposta correta: A
Pergunta #29
Uma unidade de negócios decidiu aceitar o risco de implementar um pacote de software comercial pronto para uso que usa controles de senha fracos. Qual é o MELHOR curso de ação?
A. Desenvolver uma rotina de software de senha aprimorada
B. Selecione outro aplicativo com controles de senha fortes
C. Obter aprovação da gerência para a exceção da política
D. Continuar a implementação sem alterações
Ver resposta
Resposta correta: A
Pergunta #30
O desvio dos dados de conclusão de um plano de ação de análise deve ser determinado pelo final das seguintes opções?
A. O proprietário do risco, conforme determinado pelos processos dos gerentes de risco
B. Análise de benchmarking com projetos similares concluídos
C. Gerenciamento de mudanças, conforme determinado por um conselho de controle de mudanças
D. Critérios de governança do projeto, conforme determinado pelo escritório do projeto
Ver resposta
Resposta correta: A
Pergunta #31
Qual das seguintes abordagens identifica melhor a definição de controle dos sistemas de informação?
A. Análise de lacunas
B. Avaliação das melhores práticas
C. Análise de contramedidas
D. Avaliação de riscos
Ver resposta
Resposta correta: A
Pergunta #32
Uma vez que o proprietário do risco tenha decidido implementar um controle para mitigar o risco, ele é o mais importante a ser desenvolvido:
A. um processo para medir e relatar o desempenho do controle
B. um processo de aprovação de procedimentos de controle em caso de exceções
C. um projeto de controle alternativo em caso de falha do controle identificado
Ver resposta
Resposta correta: A
Pergunta #33
Foi identificada uma lacuna de controle em um processo-chave. Quem seria o risco mais apropriado associado a essa lacuna?
A. Proprietário do controle de chaves
B. Diretor de segurança da informação (CISO)
C. Proprietário do processo de negócios
D. Gerente de riscos operacionais
Ver resposta
Resposta correta: A
Pergunta #34
Qual dos seguintes deve ser o destinatário PRIMÁRIO dos relatórios que mostram o progresso de um projeto atual de mitigação de riscos de TI?
A. Gerente de projeto
B. Gerente de riscos de TI
C. Gerência sênior
D. Patrocinador do projeto
Ver resposta
Resposta correta: C
Pergunta #35
Qual das opções a seguir facilita o desenvolvimento de cenários de risco de TI eficazes?
A. Participado por especialistas no assunto de TI
B. Utilização de uma equipe multifuncional
C. Validação pela gerência sênior
D. Integração do planejamento de contingência
Ver resposta
Resposta correta: B
Pergunta #36
Qual das opções a seguir é a maneira mais eficaz de integrar o gerenciamento de riscos empresariais às operações de TI?
A. Fornecer treinamento de conscientização de segurança
C. Realizar autoavaliações periódicas dos controles de TI (CSAs)
D. Realizar avaliações de risco periódicas
Ver resposta
Resposta correta: D
Pergunta #37
Um gerente de folha de pagamento descobre que os campos de determinados relatórios de folha de pagamento foram modificados sem autorização. Qual dos seguintes pontos fracos de controle poderia ter contribuído MAIS para esse problema?
A. O programador não envolveu o usuário nos testes
B. Os requisitos do usuário não foram documentados
C. Os arquivos da folha de pagamento não estavam sob o controle de um bibliotecário
D. O programador tinha acesso aos programas de produção
Ver resposta
Resposta correta: C
Pergunta #38
Qual das opções a seguir é MAIS útil para determinar a eficácia dos esforços de mitigação de riscos de TI de uma organização?
A. Verificar se os planos de ação de risco foram concluídos
B. Atribuir datas de identificação para cenários de risco no registro de riscos
C. Revisar os principais indicadores de risco (KRIs)
D. Atualizar as avaliações de impacto dos cenários de risco
Ver resposta
Resposta correta: C
Pergunta #39
Uma organização está se preparando para transferir um grande número de representantes de atendimento ao cliente para o departamento de vendas. Dentre os seguintes, quem é responsável por reduzir o risco associado ao acesso residual ao sistema?
A. Gerente de vendas
B. Gerente da central de serviços de TI
C. Gerente de controle de acesso
D. Gerente de atendimento ao cliente
Ver resposta
Resposta correta: C
Pergunta #40
Que tipo de implantação de computação em nuvem oferece ao consumidor o grau de controle MAIS GRAVE sobre o ambiente?
A. Nuvem híbrida
B. Nuvem privada
C. Nuvem comunitária
D. Nuvem pública
Ver resposta
Resposta correta: B
Pergunta #41
Durante a análise do controle, o proprietário do controle afirma que um controle de saída se deteriorou com o tempo do proprietário Qual é a MELHOR recomendação para o proprietário do controle?
A. Certifique o controle após documentar a preocupação
B. Implementar controles de compensação para reduzir o risco residual
C. Discutir as opções de mitigação de riscos com o proprietário do risco
D. Exaltar o problema para a gerência sênior
Ver resposta
Resposta correta: B
Pergunta #42
Qual das opções a seguir deve ser a MAIOR preocupação de uma organização que está considerando a adoção de uma iniciativa de trazer seu próprio dispositivo (BYOD)?
A. Usuários mal-intencionados
B. Suporte ao usuário
C. Corrupção do dispositivo
D. Perda de dados,
Ver resposta
Resposta correta: D
Pergunta #43
Qual das opções a seguir MELHOR ajudará na comunicação das prioridades estratégicas de risco?
A. Balanced Scorecard
B. Análise de impacto nos negócios (BIA)
C. Mapa de calor
D. Registro de riscos
Ver resposta
Resposta correta: C
Pergunta #44
O benefício PRIMÁRIO da classificação dos ativos de informação é que ela ajuda a:
A. facilitar a auditoria interna
B. determinar o nível apropriado de controle
C. Atribuir a propriedade do risco
D. comunicar o risco à gerência sênior
Ver resposta
Resposta correta: B
Pergunta #45
Que tipo de implantação de computação em nuvem oferece à construção o MAIOR grau de controle sobre o ambiente?
A. nuvem híbrida
B. Nuvem privada
C. nuvem comunitária
D. Nuvem pública
Ver resposta
Resposta correta: B
Pergunta #46
Durante uma revisão de controle, o proprietário do controle afirma que um controle existente se deteriorou com o tempo. Qual é a MELHOR recomendação para o proprietário do controle?
A. certificar o controle após documentar a preocupação
B. Implementar controles de compensação para reduzir o risco residual
C. Discutir as opções de mitigação de riscos com o proprietário do risco
D. Exaltar o problema para a gerência sênior
Ver resposta
Resposta correta: B
Pergunta #47
Qual das opções a seguir deve ser a MAIOR preocupação de uma organização que está considerando a adoção de uma iniciativa de trazer seu próprio dispositivo (BYOD)?
A. Usuários mal-intencionados
B. Suporte ao usuário
C. Corrupção do dispositivo
D. Perda de dados,
Ver resposta
Resposta correta: D
Pergunta #48
Qual das opções a seguir MELHOR ajudará na comunicação das prioridades estratégicas de risco?
A. Balanced Scorecard
B. Análise de impacto nos negócios (BIA)
C. Mapa de calor
D. Registro de riscos
Ver resposta
Resposta correta: C
Pergunta #49
O benefício PRIMÁRIO da classificação dos ativos de informação é que ela ajuda a:
A. facilitar a auditoria interna
B. determinar o nível adequado de controle
C. Atribuir a propriedade do risco
D. comunicar o risco à gerência sênior
Ver resposta
Resposta correta: B
Pergunta #50
Qual das seguintes é a consideração PRIMÁRIA ao estabelecer uma lógica de gerenciamento da organização?
A. risco para o nível da aula
B. Informações de benchmarking
C. requisitos de recursos
D. contexto de negócios
Ver resposta
Resposta correta: D
Pergunta #51
Qual das seguintes opções melhor indica um gerenciamento eficaz de incidentes de segurança da informação?
A. ercentual de incidentes de segurança de alto risco
B.
C. tendência mensal de incidentes relacionados à segurança da informação
D. frequência dos testes do plano de resposta a incidentes de segurança da informação
Ver resposta
Resposta correta: D
Pergunta #52
O principal benefício da realização do monitoramento contínuo dos controles de acesso é a capacidade de identificar
A. inconsistências entre políticas e procedimentos de segurança
B. Indicadores-chave de risco (KRIs) de avanço ou atraso
C. possíveis atividades fora de conformidade que levem à divulgação de dados
D. ameaças desconhecidas que minam os controles de acesso existentes
Ver resposta
Resposta correta: C
Pergunta #53
O MELHOR indicador-chave de desempenho (KPI) para monitorar a adesão às práticas de provisionamento de contas de usuário de uma organização é a porcentagem de:
A. contas sem aprovação documentada
B. contas de usuário com senhas padrão
C. contas ativas pertencentes a ex-funcionários
D. Contas com atividade inativa
Ver resposta
Resposta correta: A

View The Updated ISACA Exam Questions

SPOTO Provides 100% Real ISACA Exam Questions for You to Pass Your ISACA Exam!

Get ISACA Practice Test

Ver as respostas após o envio

Por favor, envie seu e-mail e WhatsApp para obter respostas às perguntas.

Observação: certifique-se de que seu ID de e-mail e Whatsapp sejam válidos para que você possa obter os resultados corretos do exame.

E-mail:
WhatsApp/número de telefone:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.