[2025年12月21日]CISM日本語サンプルには正確で更新された問題 [Q302-Q319]

Share

[2025年12月21日]CISM日本語サンプルには正確で更新された問題

CISM日本語試験情報と無料練習テスト

質問 # 302
最も正確な統制評価をもたらすのは次のうちどれですか?

  • A. 非通知テスト
  • B. 明確に定義されたセキュリティ ポリシー
  • C. 上級管理職のサポート
  • D. 成熟した変更管理プロセス

正解:A

解説:
Explanation
Unannounced testing is the most accurate way to assess the effectiveness of controls, as it simulates a real-world scenario and does not allow the staff to prepare or modify their behavior in advance. Mature change management processes, senior management support, and well-defined security policies are all important factors for establishing and maintaining a strong security posture, but they do not directly measure the performance of controls. References = CISM Review Manual, 16th Edition, page 149. CISM Questions, Answers & Explanations Database, question ID 1003.


質問 # 303
情報セキュリティへの取り組みとイニシアチブが企業戦略を引き続きサポートすることを保証する最善の方法は、次のとおりです。

  • A. 業界のベストプラクティスを使用してベンチマークを実施します。
  • B. 情報セキュリティ運営委員会にCIOを含める。
  • C. 組織のメトリックに情報セキュリティのメトリックを含めます。
  • D. 情報セキュリティプログラムの定期的な内部監査を実行する

正解:C


質問 # 304
Web ベースのアプリケーションのデータ入力機能は、リモート サイトから作業するサード パーティのサービス プロバイダーにアウトソーシングされています。次の問題のうち、情報セキュリティ マネージャーにとって最大の関心事はどれですか?

  • A. ビジネス プロセスには、1 レベルのエラー チェックしかありません。
  • B. アプリケーションは制限付きのアクセス制御で構成されています
  • C. アプリケーションは安全な通信プロトコルを使用していません
  • D. サーバーベースのマルウェア保護は適用されません

正解:B

解説:
Explanation
The greatest concern for an information security manager in this situation would be the security of the data that is being processed by the third-party service provider working from a remote site. This could be a concern because the data may not be adequately protected from unauthorized access, manipulation, or theft. A secure communications protocol should be used to ensure the confidentiality and integrity of the data in transit.
Additionally, the information security manager should ensure that the third-party service provider has appropriate security controls in place to protect the data, such as access controls, error checking, and malware protection. This information can be found in the ISACA's Certified Information Security Manager (CISM) Study Manual, Section 5.2.


質問 # 305
情報資産の保護レベルを決定する際に、最も参考になるのは次のうちどれですか?

  • A. 事業機能への影響
  • B. 交換費用
  • C. 情報セキュリティプログラムへの影響
  • D. コントロールのコスト

正解:A

解説:
When deciding the level of protection for an information asset, the most important factor to consider is the impact to the business function. The value of the asset should be evaluated in terms of its importance to the organization's operations and how its security posture affects the organization's overall security posture. Additionally, the cost of implementing controls, the potential impact on the information security program, and the cost to replace the asset should be taken into account when determining the appropriate level of protection for the asset.


質問 # 306
情報セキュリティ管理者が新しいセキュリティシステムのビジネスケースに確実に含まれるようにするために最も重要なのは、次のうちどれですか?

  • A. システムに関連するリスクの軽減
  • B. ベンチマーク結果
  • C. 監査ログ機能
  • D. コントロールの有効性

正解:A


質問 # 307
定量的リスク分析を使用する際に考慮すべき重要な点は次のとおりです。

  • A. 情報資産の露出に数値を割り当てます。
  • B. 情報資産の重要度分析に基づいています。
  • C. 情報資産のリスク分析のベストプラクティスに準拠しています。
  • D. 情報資産によく使用されるラベルを適用します。

正解:A


質問 # 308
情報資産が正確に分類されていることを示す最良の方法はどれですか?

  • A. 情報資産所有者の適切な割り当て
  • B. 情報リスク処理の適切な優先順位付け
  • C. 正確で完全な情報資産カタログ
  • D. 情報セキュリティポリシーの遵守の強化

正解:C


質問 # 309
財務部門のディレクターが組織の予算アプリケーションをアウトソーシングすることを決定し、潜在的なプロバイダーを特定しました。IN 情報セキュリティ マネージャーが最初に開始する必要があるアクションは次のうちどれですか。

  • A. 組織とサービス プロバイダーの統計の役割を一致させます。
  • B. サービスプロバイダーのホスティング環境に関する監査レポートを取得する
  • C. 新しいソリューションに必要なセキュリティ制御を決定する
  • D. プロバイダーの災害復旧計画(DRP)を確認する

正解:C

解説:
Before outsourcing any application or service, an information security manager should first determine the required security controls for the new solution, based on the organization's risk appetite, security policies and standards, and regulatory requirements. This will help to evaluate and select the most suitable provider, as well as to define the security roles and responsibilities, service level agreements (SLAs), and audit requirements. References: https://www.isaca.org/credentialing/cism https://www.wiley.com/en-us
/CISM+Certified+Information+Security+Manager+Study+Guide-p-9781119801948


質問 # 310
情報セキュリティ マネージャーは、まもなく施行される新しいデータ保護規制について認識しています。コンプライアンス違反のリスクを管理する最善の方法は次のうちどれですか。

  • A. ギャップ分析を実行します。
  • B. 新しい法律に準拠するための作業プログラムを実行します。
  • C. コンプライアンス違反のコストについて理解する。
  • D. 最善の行動方針について上級管理職に相談してください。

正解:A


質問 # 311
出現しつつある高度で持続的な脅威 (APT) 攻撃者から保護するための最良の方法は次のうちどれですか?

  • A. 情報セキュリティ啓発資料の更新
  • B. インシデント対応チームに継続的なトレーニングを提供する
  • C. プロアクティブなシステム監視の実装
  • D. ハニーポット環境の実装

正解:C

解説:
Explanation
= Proactive systems monitoring is the best method to protect against emerging APT actors because it can help detect and respond to anomalous or malicious activities on the network, such as unauthorized access, data exfiltration, malware infection, or command and control communication. Proactive systems monitoring can also help identify the source, scope, and impact of an APT attack, as well as provide evidence for forensic analysis and remediation. Proactive systems monitoring can include tools such as intrusion detection and prevention systems (IDPS), security information and event management (SIEM) systems, network traffic analysis, endpoint detection and response (EDR), and threat intelligence feeds.
References = CISM Review Manual 15th Edition, page 201-2021; CISM Practice Quiz, question 922


質問 # 312
ある組織が新しい会社を買収しようとしています。統合前に新たに取得したデータ資産を保護する方法を決定するための最良のアプローチは、次のうちどれですか?

  • A. リスク評価を実施する
  • B. 契約にセキュリティ要件を含める
  • C. データ アーキテクチャを確認します。
  • D. セキュリティ管理を評価します。

正解:A

解説:
The best approach to determine how to protect newly acquired data assets prior to integration is to perform a risk assessment. A risk assessment will identify the various threats and vulnerabilities associated with the data assets and help the organization develop an appropriate security strategy. This risk assessment should include an assessment of the security controls in place to protect the data, a review of the data architecture, and a review of any contractual requirements related to security.


質問 # 313
データの所有者は、情報セキュリティプロセスを実装するための責任を取ることを確保するための最良の方法は次のうちどれですか?

  • A. セキュリティ組織にジョブローテーションを提供します。
  • B. 増加セキュリティ意識向上トレーニング
  • C. 従業員の職務記述書にセキュリティ・タスクを含めます
  • D. プロジェクトチームのメンバーシップを含めます

正解:D


質問 # 314
ビジネスユニットは、情報セキュリティガバナンスのフレームワークに準拠していることを確実にする最も効果的な方法は次のうちどれですか?

  • A. プロセスとセキュリティ要件を統合
  • B. 指揮の情報セキュリティ意識向上トレーニング
  • C. ビジネスインパクト分析(BIA)を行います
  • D. セキュリティ評価とギャップ分析を行います

正解:D


質問 # 315
新しいアプリケーションが情報セキュリティ ポリシーに準拠していることを確認するための最良のアプローチは次のとおりです。

  • A. 脆弱性分析を実行します。
  • B. 実装前にアプリケーションのセキュリティを確認します。
  • C. アプリケーションのセキュリティを定期的に監査します。
  • D. 開発段階で機能を統合します。

正解:A

解説:
Performing a vulnerability analysis is the best option to ensure that a new application complies with information security policy because it helps to identify and evaluate any security flaws or weaknesses in the application that may expose it to potential threats or attacks, and provide recommendations or solutions to mitigate them. Reviewing the security of the application before implementation is not a good option because it may not detect or prevent all security issues that may arise after implementation or deployment. Integrating security functionality at the development stage is not a good option because it may not account for all security requirements or challenges of the application or its environment. Periodically auditing the security of the application is not a good option because it may not address any security issues that may occur between audits or after deployment. Reference: https://www.isaca.org/resources/isaca-journal/issues/2017/volume-2/secure-software-development-lifecycle https://www.isaca.org/resources/isaca-journal/issues/2016/volume-4/integrating-assurance-functions


質問 # 316
組織は災害復旧戦略を策定しており、復旧シーケンスを確立できるように各アプリケーションの重要度を識別する必要があります。
次のどれが最善の行動方針でしょうか?

  • A. データフローを文書化し、依存関係を確認する
  • B. 各アプリケーションに対してビジネス影響分析(BIA)を実行する
  • C. どのアプリケーションが最もキャッシュフローに貢献しているかを特定する
  • D. 回復時間が最も短いアプリケーションを最初に復元します

正解:B


質問 # 317
組織は、セキュリティギャップに対処するためにアウトソーシング会社と契約しています。セキュリティギャップが解消されたかどうかを判断するための最良の方法は次のうちどれですか?

  • A. サービスレベルアグリーメント(SLA)
  • B. セキュリティリスク評価
  • C. セキュリティ監査
  • D. 脆弱性スキャン

正解:C


質問 # 318
インシデント後のレビューを実行する主な目的は、次のとおりです。

  • A. インシデントの影響を再評価します。
  • B. コントロールの改善を特定します。
  • C. 脆弱性を特定します。
  • D. 根本原因を特定します。

正解:D

解説:
Explanation
The primary objective of performing a post-incident review is to identify the root cause of the incident. This information is used to develop and implement corrective actions to prevent similar incidents from occurring in the future. The post-incident review process may also include a re-evaluation of the impact of the incidents, the identification of vulnerabilities, and the identification of control improvements, but the primary objective is to determine the root cause of the incident. By understanding the root cause, the organization can take proactive steps to prevent similar incidents from occurring in the future and improve the overall security posture of the organization.


質問 # 319
......

合格させるISACA CISM日本語プレミアムお試しセットテストエンジンPDFで無料問題集セット:https://jp.fast2test.com/CISM-JPN-premium-file.html


弊社を連絡する

我々は12時間以内ですべてのお問い合わせを答えます。

我々の働いている時間: ( GMT 0:00-15:00 )
月曜日から土曜日まで

サポート: 現在連絡 

English Deutsch 繁体中文 한국어