
CISA日本語問題集最新版を今すぐ試そう![2024年09月] 試験準備には欠かせません!
有能な受験者がシミュレーション済みのCISA日本語試験PDF問題を試そう
質問 # 126
IT 運用監査を実施中に、内部情報情報監査人は、暗号化されていないデータが含まれている可能性があるバックアップ メディアが不足していることを発見しました。情報情報監査人の次のステップは次のうちどれですか?
- A. 不足しているメディアにどのようなデータがあるかを確認します。
- B. バックアップ メディアのポリシーと手順を確認します。
- C. 不足しているメディアに関するレポートを作成します。
- D. 紛失したメディアを法的および規制当局に通知します。
正解:A
質問 # 127
顧客向けの IT アプリケーションを開発する場合、システム開発ライフサイクル (SDLC) のどの段階でデータ プライバシーの原則を考慮することが最も有益ですか?
- A. システム設計とアーキテクチャ
- B. 要件定義
- C. ソフトウェアの選択と取得
- D. ユーザー受け入れテスト (UAT)
正解:B
解説:
説明
システム開発ライフ サイクル (SDLC) でデータ プライバシーの原則を検討するのに最も有益な段階は、次のとおりです。
D: 要件定義。これは、データ プライバシーの原則を後付けや後付けとしてではなく、最初から顧客向け IT アプリケーションの設計と開発に組み込む必要があるためです1。要件定義の段階でデータ プライバシーの原則を考慮することで、開発者はアプリケーションによって収集、処理、保存、共有される個人データを特定し、一般データなどの関連法規制に確実に準拠することができます。保護規則 (GDPR)2. また、データの最小化、目的の制限、透明性、同意、セキュリティの原則を適用して、顧客のプライバシー権と利益を保護することもできます3。
質問 # 128
ブラックボックス侵入テストを計画する際に確認することが最も重要なのは、次のうちどれですか?
- A. 環境と侵入テストの範囲が決定されました。
- B. クライアント組織の管理者はテストを認識しています。
- C. テスト結果は文書化され、経営陣に伝達されます。
- D. 組織のネットワークアーキテクチャの図が利用可能です。
正解:A
質問 # 129
不正な支払いを防ぐ最善の方法は、支払い処理と以下の間で職務の分離を実装することです。
- A. 作成を確認します。
- B. 求人の作成。
- C. 支払いの承認。
- D. ベンダーの設定。
正解:C
質問 # 130
CFO は、月末の報告中に一連の財務システムの速度低下が発生したため、IT キャパシティ管理の監査を要求しました。この監査をプログラムに含める前に、考慮すべき最も重要なことは何ですか?
- A. システムの遅延により、手動処理の使用頻度が高くなるかどうか
- B. 利害関係者が監査を支援することを約束しているかどうか
- C. 内部監査員が監査を実施するために必要なスキルを持っているかどうか
- D. システムのパフォーマンスが組織に重大なリスクをもたらすかどうか
正解:D
解説:
Explanation
The most important thing to consider before including an audit of IT capacity management in the program is whether the system's performance poses a significant risk to the organization. IT capacity management is a process that ensures that IT resources are sufficient to meet current and future business needs, and that they are optimized for cost and performance. A poor IT capacity management can result in system slowdowns, outages, failures, or breaches, which can affect the availability, reliability, security, and efficiency of IT services and business processes. Therefore, before conducting an audit of IT capacity management, the auditor should assess the potential impact and likelihood of these risks on the organization's objectives, reputation, compliance, and customer satisfaction.
Whether system delays result in more frequent use of manual processing (option A) is not the most important thing to consider before including an audit of IT capacity management in the program, as it is only one possible consequence of poor IT capacity management. Manual processing can introduce errors, delays, inefficiencies, and inconsistencies in the data and reports, which can affect the quality and accuracy of financial information. However, manual processing is not the only or the worst outcome of poor IT capacity management; there may be other more severe or frequent risks that need to be considered.
Whether stakeholders are committed to assisting with the audit (option C) is also not the most important thing to consider before including an audit of IT capacity management in the program, as it is a factor that affects the feasibility and effectiveness of the audit, not the necessity or priority of it. Stakeholder commitment is important for ensuring that the auditor has access to relevant information, documents, data, and personnel, as well as for facilitating communication, collaboration, and feedback during the audit process. However, stakeholder commitment is not a sufficient reason to conduct an audit of IT capacity management; there must be a clear risk-based rationale for selecting this area for audit.
Whether internal auditors have the required skills to perform the audit (option D) is also not the most important thing to consider before including an audit of IT capacity management in the program, as it is a factor that affects the quality and credibility of the audit, not the urgency or importance of it. Internal auditors should have the appropriate knowledge, skills, and experience to perform an audit of IT capacity management, which may include technical, business, analytical, and communication skills. However, internal auditors can also acquire or supplement these skills through training, coaching, consulting, or outsourcing. Therefore, internal auditors' skills are not a decisive factor for choosing this area for audit.
Therefore, option B is the correct answer.
References:
Guide to IT Capacity Management | Smartsheet
ISO 27001 capacity management: How to implement control A.12.1.3 - Advisera ISO 27002:2022 - Control 8.6 - Capacity Management
質問 # 131
コーディング標準は、次のうちどれを提供しますか?
- A. アクセス制御テーブル
- B. プログラムのドキュメント
- C. データフロー図
- D. フィールドの命名規則
正解:D
解説:
Explanation
Coding standards provide field naming conventions, which are rules for naming variables, constants, functions, classes, and other elements in a program. Coding standards help to ensure consistency, readability, maintainability, and portability of code. Program documentation, access control tables, and data flow diagrams are not part of coding standards. References: CISA Review Manual (Digital Version), Chapter 4, Section 4.3.1
質問 # 132
データベースの整合性を確実に維持するための最良の予防制御は次のうちどれですか?
- A. 生体認証
- B. 必須のパスワード変更
- C. ロールベースのアクセス
- D. 必須の年次ユーザー アクセス レビュー
正解:C
質問 # 133
情報システム監査人が組織のアウトソーシング サービス プロバイダーの監査計画を策定する際に検討するのに最も役立つ情報は次のうちどれですか?
- A. 組織の調達ポリシー
- B. サービス レベル アグリーメント (SLA) レポート
- C. 独立した監査レポート
- D. サービスプロバイダーの制御自己評価 (CSA)
正解:C
質問 # 134
個人を特定できるデータをホストするためにサードパーティのクラウドサービスプロバイダーとのアウトソーシング契約を検討する際に、IS監査人が最も懸念すべきことは次のうちどれですか?
- A. データはホストプラットフォーム上で適切に分離されていません。
- B. ホストが保存するデータの量に基づいて料金が請求されます。
- C. アウトソーシング契約には監査権条項が含まれていません。
- D. 組織のサーバーはサードパーティのインフラストラクチャと互換性がありません
正解:A
質問 # 135
組織は、ユーザーが個人のデバイスを企業ネットワークに接続できるようにすることを検討しています。次のうちどれを最初に行う必要がありますか?
- A. 利用規定を実装します。
- B. 個人用デバイスのインベントリレコードを作成します。
- C. セキュリティ意識向上トレーニングを実施します。
- D. モバイルデバイス管理(MDM)ソリューションでユーザーを構成します。
正解:A
質問 # 136
ビジネス プロセス アプリケーションに対する情報システム セキュリティ責任者の主な責任は次のとおりです。
- A. アクセス ルールがポリシーと一致していることを確認します
- B. 安全な緊急アクセスを許可します
- C. ビジネス プロセスごとにロールベースのルールを作成します
- D. 組織のセキュリティ ポリシーを承認します。
正解:A
解説:
説明
アクセス ルールがポリシーと一致していることを確認することは、ビジネス プロセス アプリケーションに対する情報システム セキュリティ担当者の主な責任です。情報システム セキュリティ担当者は、ビジネス プロセス アプリケーションに実装されているアクセス制御が組織のセキュリティ ポリシーおよびセキュリティ目標と一致していることを検証する必要があります。他のオプションは、情報システム セキュリティ担当者の主な責任ではなく、アプリケーション所有者、上級管理者、またはビジネス アナリストのタスクです。参考文献:
CISA レビューマニュアル (デジタル版)、第 7 章、セクション 7.3.11
CISA レビューの質問、回答、説明データベース、質問 ID 208
質問 # 137
本番プログラムへの許可された変更に関連するコントロールは、次の方法で最適にテストされます。
- A. プログラムで変更されたソース コードの実際の行のみを確認します。
- B. 実行可能プログラムから変更の元の要求までさかのぼって変更をトレースします。
- C. 新しいプログラムを実装する権限のみをテストします。
- D. 元の変更要求から実行可能プログラムまでの変更をトレースします。
正解:D
質問 # 138
データ損失防止(DIP)ポリシーを作成するときに含めることが最も重要なのは、次のうちどれですか?
- A. 保護が必要な関連ネットワークチャネルの識別
- B. 保護するコンテンツの識別
- C. 施行措置の特定
- D. ポリシーが適用されるユーザー、グループ、および役割の識別
正解:B
質問 # 139
次のうち、IS監査人が、ビジネスプロセスを再設計するプロジェクトに関連する最も重大なリスクであると考えるのはどれですか?
- A. 既存のコントロールマットが弱くなるか削除されます。
- B. プロジェクトマネージャーは情報システムに不慣れです。
- C. 変更のネガティブは文書化されていない可能性があります。
- D. 既存のベースラインプロセスは経営陣に報告されない場合があります。
正解:C
質問 # 140
次のアクティビティのうち、組織内に存在する可能性のある個人の依存関係に関する最も多くの洞察を情報情報監査人に提供するのはどれですか?
- A. 休暇パターンの確認
- B. IT プロセスをロールにマッピングする
- C. 上級 IT 管理者へのインタビュー
- D. ユーザー アクティビティ ログの確認
正解:B
解説:
説明
IT プロセスを役割にマッピングすることは、組織内に存在する可能性のある個人への依存関係について、情報システム監査人に最大限の洞察を提供するアクティビティです。単一人物への依存は、重要な IT 機能を実行するための知識、スキル、またはアクセス権を 1 人だけが持っている場合に発生します。
IT プロセスを役割にマッピングすると、そのような依存関係を特定し、IT 運用の継続性とセキュリティに対する依存関係の影響を評価するのに役立ちます。他のアクティビティでは、IT プロセスと役割の間の関係が示されないため、1 人の依存関係についてはあまり洞察が得られません。参考文献: CISA レビューマニュアル、第 27 版、94 ページ
質問 # 141
アプリケーションの設計に尽力した情報システム監査人は、アプリケーションのレビューを求められます。監査人は次のことを行う必要があります。
- A. 以前の関与を監査管理者に通知します。
- B. アプリケーションの知識を使用して監査を実行します。
- C. 監査の範囲を変更します。
- D. 利益相反を避けるために割り当てを拒否します。
正解:A
質問 # 142
......
検証済み材料を使うならまずCISA日本語テストエンジンを試そう:https://jp.fast2test.com/CISA-JPN-premium-file.html