
2024年更新のIsaca Certificationが有効なCISM日本語問題集を無料提供しています
最新のFast2test CISM日本語のPDF問題集をダウンロードしちゃおう:https://jp.fast2test.com/CISM-JPN-premium-file.html(672問題と解答)
質問 # 245
次のプロセスのうち、インシデント対応の有効性の評価をサポートするのに最も適しているのはどれですか?
- A. インシデントのログ
- B. 事後レビュー
- C. 保管の連鎖
- D. 根本原因分析
正解:B
質問 # 246
セキュリティガバナンスは、次のITインフラストラクチャコンポーネントのどれに最も関連していますか?
- A. アプリケーション
- B. プラットフォーム
- C. ネットワーク
- D. プロセス
正解:D
質問 # 247
サイバー レジリエンス戦略の主な目的は次のうちどれですか?
- A. 従業員の意識
- B. 事業継続性
- C. エグゼクティブサポート
- D. 規制遵守
正解:B
解説:
Explanation
Business continuity is the primary objective of a cyber resilience strategy, as it aims to ensure that the organization can continue to deliver its essential products and services in the face of cyber disruptions, and recover to normal operations as quickly and effectively as possible. A cyber resilience strategy should align with the business continuity plan and support the organization's mission, vision, and values. (From CISM Review Manual 15th Edition) References: CISM Review Manual 15th Edition, page 178, section 4.3.2.1.
質問 # 248
適用されるデータプライバシー規制に準拠する必要がある新しいデータ保護プログラムを確立する場合、次のうちどれを最初に実行する必要がありますか?
- A. プライバシー侵害に対処するための懲戒プロセスを更新します。
- B. データ保護に必要なプライバシー技術を評価します。
- C. システムやネットワークに保存されているすべての個人データを暗号化します。
- D. 個人データが保存されているシステムのインベントリを作成します。
正解:D
解説:
Explanation
= The first step when establishing a new data protection program that must comply with applicable data privacy regulations is to create an inventory of systems where personal data is stored. Personal data is any information that relates to an identified or identifiable natural person, such as name, address, email, phone number, identification number, location data, biometric data, or online identifiers. Data privacy regulations are laws and rules that govern the collection, processing, storage, transfer, and disposal of personal data, and that grant rights and protections to the data subjects, such as the right to access, rectify, erase, or restrict the use of their personal data. Examples of data privacy regulations are the General Data Protection Regulation (GDPR) in the European Union, the California Consumer Privacy Act (CCPA) in the United States, and the Personal Data Protection Act (PDPA) in Singapore. Creating an inventory of systems where personal data is stored is essential for the data protection program, because it helps to:
Identify the sources, types, and locations of personal data that the organization collects and holds, and the purposes and legal bases for which they are used.
Assess the risks and impacts associated with the personal data, and the compliance requirements and obligations under the applicable data privacy regulations.
Implement appropriate technical and organizational measures to protect the personal data from unauthorized or unlawful access, use, disclosure, modification, or loss, such as encryption, pseudonymization, access control, backup, or audit logging.
Establish policies, procedures, and processes to manage the personal data throughout their life cycle, and to respond to the requests and complaints from the data subjects or the data protection authorities.
Monitor and review the performance and effectiveness of the data protection program, and report and resolve any data breaches or incidents.
References = CISM Review Manual, 16th Edition, Chapter 3: Information Security Program Development and Management, Section: Data Protection, pages 202-2051; CISM Review Questions, Answers & Explanations Manual, 10th Edition, Question 71, page 662.
質問 # 249
損失が発生した場合に会社のデータを保護するために、BYOD(Bring Your Own Device)プログラムで最も重要な考慮事項は、次のうちどれですか?
- A. 未承認のアプリケーションを制限する機能
- B. デバイスを一元管理する機能
- C. デバイスをリモートで見つける機能
- D. デバイスの種類を分類する機能
正解:C
質問 # 250
予算の制約により、内部ITアプリケーションには、クライアントのサービスレベル契約(SLA)を満たすために必要な制御が含まれていません。次のうち、情報セキュリティ管理者の最善の行動方針はどれですか?
- A. アプリケーションの所有者にコントロールの実装を要求します。
- B. リスクを評価し、アプリケーションの所有者に提示します
- C. 問題を分析してサーバー管理に報告する
- D. 法務部門に欠陥を通知します
正解:C
質問 # 251
以下を決定するには、目標復旧時間(RTO)の計算が必要です。
- A. 同期点
- B. ファイルの復元に必要な時間。
- C. 復元の優先度。
- D. 年間損失予想(ALE)
正解:C
質問 # 252
次のうちどれが役割ベースのアクセススキームの有効性を保証するための最良の方法ですか?
- A. 許可された例外の数を確認します。
- B. セルフサービスのパスワードシステムを実装します。
- C. 集中型のイベントログを実装します。
- D. 不正アクセスの試行回数を確認します。
正解:A
質問 # 253
一元化されたリスクレジスターが編集され、優先順位が付けられた後、いくつかの重要なリスクが特定されました。情報セキュリティマネージャーの最も重要な行動は次のとおりです。
- A. 上級管理職にリスク処理オプションを提供します。
- B. 従業員がリスクを認識していることを確認します。
- C. リスクを軽減するための制御を設計および実装します。
- D. リスクの処理方法について外部の第三者に相談する
正解:A
質問 # 254
情報セキュリティリスク評価の次のコンポーネントのうち、上級管理職にとって最も価値のあるものはどれですか?
- A. 脅威プロファイル
- B. 投資収益率(ROI)
- C. 緩和策
- D. 残存リスク
正解:D
質問 # 255
情報セキュリティ戦略を開発する際の重要な要件は次のとおりです。
- A. 望ましい結果がわかっています。
- B. 重要な成功要因(CSF)が開発されています。
- C. 標準は管理の意図を捉えています。
- D. 目標を達成するためのスケジュールが作成されます。
正解:C
質問 # 256
次のうち、組織が文化を変革して情報セキュリティをサポートすることを可能にするのはどれですか?
- A. 定期コンプライアンス監査
- B. 堅牢な技術的セキュリティ管理
- C. セキュリティ インシデントの報告に対するインセンティブ
- D. 強力な経営サポート
正解:D
解説:
Explanation
While periodic compliance audits, robust technical security controls, and incentives for security incident reporting can all help to improve an organization's information security posture, strong management support is essential for enabling an organization to transform its culture to support information security. This means ensuring that security is given the necessary attention and resources, and that the security team is given the autonomy to implement the necessary policies, procedures, and controls.
質問 # 257
ビジネス目標を達成するために必要な費用効果の高いコントロールを選択する際の情報セキュリティマネージャーの最善のアプローチは、次のうちどれですか?
- A. リスクの食欲に合わせる
- B. ギャップ分析を実施します。
- C. 業界のベストプラクティスに合わせます。
- D. 予防管理に焦点を当てます。
正解:A
質問 # 258
セキュリティポリシーの実装とメンテナンスを成功させるには、次のうちどれが最も重要ですか?
- A. すべての適切な関係者によるフレームワークの同化および文書化されたセキュリティポリシーの意図
- B. セキュリティルールの違反に対して懲罰的なアクションを提供することによるセキュリティルールの実施
- C. アクセス制御ソフトウェアを介したセキュリティ担当者によるルールの厳格な実装、監視、および強制
- D. セキュリティポリシーの実装と保守に関する管理サポートと承認
正解:A
解説:
説明
システムのユーザーによるフレームワークと文書化されたセキュリティポリシーの意図の同化は、セキュリティポリシーの実装とメンテナンスを成功させるために重要です。優れたパスワードシステムが存在する場合もありますが、システムのユーザーが自分の机にパスワードを書いておくと、パスワードの価値はほとんどありません。管理のサポートとコミットメントは間違いなく重要ですが、セキュリティポリシーの実装と維持を成功させるには、セキュリティの重要性についてユーザーに教育することが最重要です。セキュリティの重要性に関するユーザーの教育とともに、厳格な実装、アクセス制御ソフトウェアを介したセキュリティ担当者によるルールの監視と実施、およびセキュリティルール違反に対する懲罰的措置の規定も必要です。
質問 # 259
情報セキュリティへの投資に関する経営陣の決定は、以下に基づいている場合に最も効果的です。
- A. 経営陣によるリスク分析の正式な承認、
- B. 脅威と脆弱性を特定して分析するプロセス。
- C. セキュリティ イベントの履歴から決定される年間損失予測 (ALE)、
- D. 一貫した定期的なリスク評価の報告。
正解:D
質問 # 260
次のうち、セキュリティ違反に効果的に対応するために最も重要なものはどれですか?
- A. 経営コミュニケーション
- B. 証拠収集
- C. 反撃テクニック
- D. 根本原因分析
正解:D
質問 # 261
最高情報セキュリティ責任者(CISO)が実行する最も重要なタスクは次のうちどれですか?
- A. 重要な金融システムへのアクセスを承認する
- B. 災害復旧テストの実施
- C. プラットフォームレベルのセキュリティ設定を更新する
- D. 情報セキュリティ戦略ペーパーを開発する
正解:D
解説:
説明
情報セキュリティに関する戦略文書を作成することが最も適切です。アクセスの承認は、データ所有者の仕事です。プラットフォームレベルのセキュリティを更新し、復旧テストを実施することは管理タスクであるため、それほど重要ではありません。
質問 # 262
インシデント対応のためのシナリオベースのトレーニングを実装する主な理由は次のとおりです。
- A. インシデント対応チームのメンバーが割り当てられた役割を理解できるようにします。
- B. インシデントチームの対応と修復の適時性を評価します。
- C. インシデント対応チームが直面する脅威と脆弱性を確認します。
- D. 避難が必要な場合にどこに報告するかをスタッフが知っていることを確認します。
正解:A
質問 # 263
主要リスク指標(クリス)のセットを確立する際に、情報セキュリティ管理の最大の関心事の次のうちどれをすべきですか?
- A. 組織は、前のセキュリティイベントには過去のデータを持っていません
- B. リスク許容度がまだ確立されていません
- C. いくつかのビジネス機能は、サードパーティベンダーに委託されています。
- D. 組織の目的上のセキュリティリスクの影響は十分に理解されていません
正解:B
質問 # 264
経験の浅い情報セキュリティマネージャーは、内部監査部門を利用して、主要なセキュリティ管理策を設計および実装しています。最も大きいリスクは次のうちどれですか?
- A. 利益相反
- B. コントロールの実装が不十分
- C. 不十分な監査スキル
- D. 監査憲章の違反
正解:A
質問 # 265
情報セキュリティ戦略の開発を成功させるために最も重要なものは次のうちどれですか?
- A. 現状と望ましい目的
- B. 適切に実装されたガバナンスフレームワーク
- C. 実装された開発ライフサイクルプロセス
- D. 承認されたポリシーと標準
正解:A
質問 # 266
次のうち、ビジネスユニットが情報セキュリティガバナンスフレームワークに準拠することを保証する最も効果的な方法はどれですか?
- A. 情報セキュリティ意識向上トレーニングの実施
- B. ビジネスインパクト分析(BIA)の実施
- C. セキュリティ評価とギャップ分析の実行
- D. セキュリティ要件とプロセスの統合
正解:A
質問 # 267
インシデント管理プロセスの主な目的は次のうちどれですか?
- A. セキュリティインシデント対応機能を向上させるため
- B. 組織のリスク許容度を検証する
- C. セキュリティインシデントが発生する可能性を減らすため
- D. セキュリティインシデントがビジネスに与える影響を軽減するため
正解:D
質問 # 268
......
実験された試験材料はCISM日本語:https://jp.fast2test.com/CISM-JPN-premium-file.html