
試験高合格率保証2024年04月04日 CISM日本語試験問題と正確な回答!
テストエンジン練習問題CISM日本語有効最新の問題集
質問 # 118
新しいソフトウェア アプリケーションの開発効率を向上させるには、セキュリティ要件を定義する必要があります。
- A. 利用可能なセキュリティ評価ツールに基づきます。
- B. コードレビューに基づく。
- C. 機能要件を満たした後。
- D. 他の要件と同時に。
正解:D
解説:
Explanation
Security requirements should be defined concurrently with other requirements to ensure that security is built into the software development process from the beginning and not added as an afterthought. This will also improve the efficiency of the development process by reducing the need for rework and testing. Security requirements should be based on the business objectives, risk assessment, and security policies of the organization, not on code review, security assessment tools, or functional requirements. References = CISM Review Manual 15th Edition, page 1241; CISM Item Development Guide, page 62
質問 # 119
資産分類プログラムを開発する場合、次のどのステップを最初に完了する必要がありますか?
- A. デジタル著作権管理ツールのビジネス ケースを作成します。
- B. データ損失防止 (OLP) システムを実装します。
- C. インベントリを作成します。&
- D. 各アセットを分類します。
正解:C
質問 # 120
新しいワイヤレスネットワークの潜在的なセキュリティ侵害を検討する際に最も重要な重点分野は次のうちどれですか?
- A. 暗号化強度
- B. 帯域幅
- C. 信号強度
- D. 管理者の数
正解:D
解説:
説明
ネットワーク構成にアクセスできる個人の数は、セキュリティ上のリスクをもたらします。暗号化強度は、ワイヤレスネットワークが不足する傾向がある領域です。ただし、不適切な人数が構成を変更できる場合、ネットワーク全体を危険にさらす可能性が高くなります。信号強度とネットワーク帯域幅は二次的な問題です。
質問 # 121
大規模な国際組織内で使用するための情報セキュリティガイドラインを文書化する主な目的は、次のとおりです。
- A. すべてのビジネスユニットが同じ戦略的セキュリティ目標を持っていることを確認します。
- B. セキュリティ慣行が適切であるという証拠を監査人に提供します。
- C. セキュリティに関する組織の推奨プラクティスを説明します。
- D. すべてのビジネスユニットが同一のセキュリティ手順を実装していることを確認します。
正解:C
質問 # 122
次のうち、情報セキュリティ戦略の策定において最も重要なインプットは誰ですか?
- A. プロセス所有者
- B. 監査役
- C. セキュリティ アーキテクト。
- D. エンド ユーザー
正解:A
質問 # 123
組織のセキュリティ ポリシーでは、ラップトップとデスクトップの USB ストレージ デバイスへのアクセスを無効にしています。ポリシーに例外を認める最も強い理由は次のうちどれですか?
- A. 潜在的なリスクよりもメリットの方が大きい。
- B. USB ストレージ デバイスは、ユーザー ロールに基づいて有効になります。
- C. アクセスは読み取り専用に制限されます。
- D. ユーザーは、コンプライアンス違反のリスクを受け入れます。
正解:A
解説:
The strongest justification for granting an exception to the security policy that disables access to USB storage devices on laptops and desktops is that the benefit is greater than the potential risk. A security policy is a document that defines the goals, objec-tives, principles, roles, responsibilities, and requirements for protecting information and systems in an organization. A security policy should be based on a risk assessment that identifies and evaluates the threats and vulnerabilities that affect the organiza-tion's assets, as well as the potential impact and likelihood of incidents. A security pol-icy should also be aligned with the organization's business objectives and risk appe-tite1. However, there may be situations where a security policy cannot be fully enforced or complied with due to technical, operational, or business reasons. In such cases, an exception to the policy may be requested and granted by an authorized person or body, such as a security manager or a policy committee. An exception to a security policy should be justified by a clear and compelling reason that outweighs the risk of non-compliance. An exception to a security policy should also be documented, approved, monitored, reviewed, and revoked as necessary2. The strongest justification for grant-ing an exception to the security policy that disables access to USB storage devices on laptops and desktops is that the benefit is greater than the potential risk. USB storage devices are portable devices that can store large amounts of data and can be easily connected to laptops and desktops via USB ports. They can provide several benefits for users and organizations, such as:
* Enhancing data mobility and accessibility
* Improving data backup and recovery
* Supporting data sharing and collaboration
* Enabling data encryption and authentication
However, USB storage devices also pose significant security risks for users and organi-zations, such as:
* Introducing malware or viruses to laptops and desktops
* Exposing sensitive data to unauthorized access or disclosure
* Losing or stealing data due to device loss or theft
* Violating security policies or regulations
Therefore, an exception to the security policy that disables access to USB storage de-vices on laptops and desktops should only be granted if the benefit of using them is greater than the potential risk of compromising them. For example, if a user needs to transfer a large amount of data from one laptop to another in a remote location where there is no network connection available, and the data is encrypted and protected by a strong password on the USB device, then the benefit of using the USB device may be greater than the risk of losing or exposing it. The other options are not the strongest justifications for granting an exception to the security policy that disables access to USB storage devices on laptops and desktops. Enabling USB storage devices based on user roles is not a justification, but rather a possible way of implementing a more gran-ular or flexible security policy that allows different levels of access for different types of users3. Users accepting the risk of noncompliance is not a justification, but rather a requirement for requesting an exception to a security policy that acknowledges their responsibility and accountability for any consequences of noncompliance4. Accessing being restricted to read-only is not a justification, but rather a possible control that can reduce the risk of introducing malware or viruses from USB devices to laptops and desktops5. Reference: 1: Information Security Policy - NIST 2: Policy Exception Man-agement - ISACA 3: Deploy and manage Removable Storage Access Control using In-tune - Microsoft Learn 4: Policy Exception Request Form - University of California 5: Re-movable Media Policy Writing Tips - CurrentWare
質問 # 124
セキュリティガバナンスフレームワーク内で、情報セキュリティ委員会の最も重要な特性は次のうちどれですか?委員会:
- A. 外部の専門家との関係を確立しています。
- B. すべての管理レベルのメンバーが混在しています。
- C. 明確に定義されたチャリエおよび会議プロトコルがあります。
- D. セキュリティポリシーの頻繁なレビューを実施します。
正解:B
質問 # 125
フォレンジック検査を実施する前に、情報セキュリティ管理者は次のことを行う必要があります。
- A. サーバーをシャットダウンして再配置します。
- B. バックアップ メディアからデータを複製します。
- C. 新しいメディアに元のデータのイメージを作成します。
- D. クリーンなシステムで元のハードディスクを起動します。
正解:C
解説:
Explanation
= A forensic examination is a process of collecting, preserving, analyzing, and presenting digital evidence in a manner that is legally acceptable. The first step in conducting a forensic examination is to create an image of the original data on new media, such as a hard disk, a CD-ROM, or a USB drive. This is done to ensure that the original data is not altered, damaged, or destroyed during the examination. An image is an exact copy of the data, including the file system, the slack space, and the deleted files. Creating an image also allows the examiner to work on a duplicate of the data, rather than the original, which may be needed as evidence in court. Booting the original hard disk on a clean system is not a good practice, as it may change the data on the disk, such as the timestamps, the registry entries, and the log files. Duplicating data from the backup media is not sufficient, as the backup media may not contain all the data that is relevant to the investigation, such as the deleted files, the temporary files, and the swap files. Shutting down and relocating the server is not advisable, as it may cause data loss, corruption, or tampering. The server should be kept running and isolated from the network until an image is created. References = CISM Review Manual 15th Edition, page 204-205.
Prior to conducting a forensic examination, an information security manager should create an image of the original data on new media. This is done in order to preserve the evidence, as making changes to the original data could potentially alter or destroy the evidence. Creating an image of the data also helps to ensure that the data remains intact and free from any interference or tampering.
質問 # 126
企業全体にセキュリティの期待を設定するには、最も重要です
情報セキュリティポリシーが定期的に見直され、承認されるために:
- A. 最高情報セキュリティ責任者(CISQ)。
- B. セキュリティ管理者。
- C. IT運営委員会。
- D. 上級管理職。
正解:C
質問 # 127
次のうち、組織内の情報セキュリティ機能の有効性について最も包括的なビューを提供するのはどれですか?
- A. インシデント報告システム
- B. セキュリティプロセスへの準拠の例
- C. 上級管理職へのインタビュー
- D. バランススコアカード
正解:A
質問 # 128
MOSTが特定のリスク低減コントロールを実装する必要があるかどうかを明確に示している次のテクニックはどれですか?
- A. 侵入テスト
- B. 対策費用便益分析
- C. 頻繁なリスク評価プログラム
- D. 年間損失予測(ALE)の計算
正解:B
解説:
説明
対策の費用便益分析では、保障措置の年間費用が損失の予想費用と比較されます。これを使用して、特定の制御手段を正当化できます。侵入テストは、弱さの程度を示す場合がありますが、それ自体では、コントロールのコスト/利点を確立しません。頻繁なリスク評価プログラムは、確かにどのようなリスクが存在するかを確立しますが、コントロールの最大コストを決定しません。年間損失予想(ALE)は、リスクの価値に寄与する指標ですが、単独では、コントロールを正当化しません。
質問 # 129
ベンダーが提供するホットサイトでの災害復旧テストの成功を保証する最も重要な要素は次のうちどれですか?
- A. ネットワークIPアドレスは事前定義されています
- B. 経営陣が積極的に参加
- C. ホットサイトの機器は同一です
- D. テストは週末に予定されています
正解:B
解説:
説明
災害復旧テストでは、成功するために十分なリソースを割り当てる必要があります。管理のサポートがなければ、これらのリソースは利用できず、結果としてテストが困難になります。週末にテストすることは有利ですが、これは最も重要な選択ではありません。ベンダーが提供するホットサイトは絶えず変化する状態にあるため、事前にネットワークアドレスを定義できるとは限りません。ホットサイトで同一の機器を提供することが理想的ですが、複数の顧客にサービスを提供する必要があるため、機器の仕様が異なるため、これは常に実用的ではありません。
質問 # 130
従業員が外部クラウドストレージサービスを使用して企業情報をサードパーティのコンサルタントと共有していることが判明しました。これは会社のポリシーに違反しています。次のうち、情報セキュリティマネージャーの最初の行動方針はどれですか?
- A. 従業員にビジネス上の正当性を求める
- B. セキュリティ違反について上級管理職に通知する
- C. クラウドストレージサービスへのアクセスをブロックします。
- D. 情報の分類レベルを決定します
正解:D
質問 # 131
ある金融会社の幹部は、最近増加しているサイバー攻撃を懸念しており、リスクを軽減するための措置を講じる必要があります。組織は、次のように対応するのが最善です。
- A. 侵入検知システム (IDS) の実装。
- B. リスクを再検証し、許容レベルまで軽減する。
- C. インシデント対応チームの予算と人員レベルを引き上げます。
- D. 事業継続計画 (BCP) のテスト。
正解:B
解説:
Explanation
When faced with increasing cyberattacks, the best response is to revalidate and mitigate risks to an acceptable level. This involves conducting a risk assessment to identify the organization's most critical assets, the threats to those assets, and the likelihood of those threats occurring. Based on the results of the risk assessment, the organization can prioritize and implement mitigation measures to reduce the risk to an acceptable level.
While increasing budget and staffing levels for the incident response team and implementing an intrusion detection system (IDS) may also be important steps in reducing risk, they should be done in conjunction with a risk assessment and risk mitigation plan. Testing the business continuity plan (BCP) is also important for ensuring the organization's readiness for a potential security incident, but it does not directly reduce the risk of a cyberattack. By revalidating and mitigating risks to an acceptable level, the organization can proactively reduce its risk of a successful cyberattack.
質問 # 132
監査の結果、一部の組織のソフトウェアはサポートが終了しており、ベンダーはサポートやセキュリティパッチを提供しなくなっていることが判明しました。情報セキュリティマネージャーがこの状況に対処するための最良の方法は次のうちどれですか?
- A. 影響を受けるシステムをネットワーク上でセグメント化します。
- B. ビジネスへのリスクと影響を評価します。
- C. セキュリティ管理を補償する調査。
- D. 代替ソフトウェアソリューションを調査します。
正解:B
質問 # 133
資産を分類するときに使用するのに最適な基準は次のうちどれですか?
- A. 組織に対する資産の価値
- B. 年間損失予想(ALE)
- C. リカバリ時間目標(RTO)
- D. 資産の市場価値
正解:A
質問 # 134
組織がランサムウェア攻撃を経験しました。次のうち、さらなる攻撃を防ぐための最善の行動方針はどれですか?
- A. 身代金の支払いを拒否します。
- B. セキュリティポリシーを更新します。
- C. アプリケーションのブラックリストを実装します。
- D. アプリケーションのホワイトリストを実装します。
正解:A
質問 # 135
組織の情報セキュリティの状態を示す最良の指標は次のうちどれですか?
- A. 侵入テスト
- B. 侵入検知ログ分析
- C. 統制監査
- D. 脅威分析
正解:C
解説:
Explanation
A controls audit is the best indicator of an organization's information security status, as it provides an independent and objective assessment of the design, implementation, and effectiveness of the information security controls. A controls audit can also identify the strengths and weaknesses of the information security program, as well as the compliance with the policies, standards, and regulations. A controls audit can cover various aspects of information security, such as governance, risk management, incident management, business continuity, and technical security. A controls audit can be conducted by internal or external auditors, depending on the scope, purpose, and frequency of the audit.
The other options are not as good as a controls audit, as they do not provide a comprehensive and holistic view of the information security status. Intrusion detection log analysis is a technique to monitor and analyze the network or system activities for signs of unauthorized or malicious access or attacks. It can help to detect and respond to security incidents, but it does not measure the overall performance or maturity of the information security program. Threat analysis is a process to identify and evaluate the potential sources, methods, and impacts of threats to the information assets. It can help to prioritize and mitigate the risks, but it does not verify the adequacy or functionality of the information security controls. Penetration test is a simulated attack on the network or system to evaluate the vulnerability and exploitability of the information security defenses.
It can help to validate and improve the technical security, but it does not assess the non-technical aspects of information security, such as governance, policies, or awareness. References = CISM Review Manual, 16th Edition, ISACA, 2022, pp. 211-212, 215-216, 233-234, 237-238.
CISM Questions, Answers & Explanations Database, ISACA, 2022, QID 1012.
質問 # 136
インシデント対応チームの有効性は、次の場合に最大になります。
- A. インシデント対応チームは定期的に会合を持ち、ログ ファイルをレビューします。
- B. インシデント対応チームのメンバーは訓練を受けたセキュリティ担当者であり、
- C. インシデント対応プロセスは、学んだ教訓に基づいて更新されます。
- D. インシデントは、セキュリティ情報およびイベント監視 (SIEM) システムを使用して識別されます。
正解:C
質問 # 137
最高情報セキュリティ責任者(ClSO)は情報セキュリティ戦略を策定しましたが、戦略を実行するための資金に対する上級管理職のコミットメントを得るのに苦労しています。最も可能性の高い理由は次のうちどれですか。
- A. 開発中のビジネスとの関わりが不足していました。
- B. 戦略がセキュリティ基準に準拠していません
- C. 戦略には費用便益分析は含まれていません
- D. C1SOはCIOに報告します。
正解:C
質問 # 138
情報セキュリティ部門のリソースが限られている場合、セキュリティリスクを管理するためのベストアプローチは次のうちどれですか?
- A. 追加の情報セキュリティスタッフを雇います。
- B. サードパーティの会社と連携して、セキュリティサポートを提供します。
- C. セキュリティ活動に優先順位を付け、経営陣に報告します。
- D. セキュリティ管理活動を自動化する技術的ソリューションを実装します。
正解:C
質問 # 139
組織の上級管理職は、販売促進の目的でソーシャルメディアを使用するよう従業員を奨励しています。
この戦略をサポートするための情報セキュリティ管理者の最初のステップは、次のうちどれですか?
- A. ソーシャルメディアの許容可能な利用に関するガイドラインを策定
- B. データトス防止(DLP)ソリューションのビジネスケースを開発します。
- C. 溶液を濾過ウェブコンテンツの使用を採用しています。
- D. セキュリティ意識向上プログラムに組み込むソーシャルメディア。
正解:A
質問 # 140
組織内のソーシャルネットワーキングサイトを使用するためのガイドラインを確立するときに、2つの最も重要なステップ次のうちどれですか?
- A. 脆弱性評価を実行します
- B. 安全なソーシャルネットワーキングサイトを特定する
- C. 違反に対する懲戒処分を確立
- D. 投稿のために許容可能な情報を定義します。
正解:D
質問 # 141
グローバルな金融機関は、リスク評価チームによって発見されたサービス拒否(DoS)リスクに対してこれ以上の措置を講じないことを決定しました。彼らがこの決定をした最も可能性の高い理由は次のとおりです。
- A. リスクが発生する可能性は不明です。
- B. 必要な対策が複雑すぎて展開できません。
- C. このリスクの発生を防ぐための十分な安全対策があります。
- D. 対策のコストは、資産の価値と潜在的な損失を上回ります。
正解:D
解説:
説明
組織は、潜在的な損失の価値よりも自分自身を保護するために費用がかかるため、特定のリスクに耐えることを決定する場合があります。セーフガードはリスクレベルに一致する必要があります。対策は展開するには複雑すぎますが、これは最も説得力のある理由ではありません。グローバルな金融機関がこのような攻撃にさらされることはほとんどなく、その頻度は予測できません。
質問 # 142
......
試験解答CISM日本語最新版とテストエンジン:https://jp.fast2test.com/CISM-JPN-premium-file.html