
CISM日本語無料認定試験材料はこちらの417問題
リアルCISM日本語は100%カバー率リアル試験問題を試そう!
質問 # 31
買収のデューデリジェンス段階で、情報セキュリティ管理者にとって最も重要な行動方針は次のとおりです。
- A. リスク評価を実行します
- B. セキュリティ認識の状態を確認します。
- C. 情報セキュリティポリシーを確認する
- D. ギャップ分析を実行します。
正解:D
質問 # 32
指紋バイオメトリクスは、次の用途に最適です。
- A. アクセス制御。
- B. 識別、
- C. 認証。
- D. 承認、
正解:A
質問 # 33
次のベストのうち、情報セキュリティプログラムの上級管理職のサポートを示しているのはどれですか?
- A. 詳細な情報セキュリティポリシーが確立され、定期的に見直されます。
- B. リスク評価は情報セキュリティチームによって頻繁に実施されます。
- C. 情報セキュリティマネージャーは定期的に事業部門と会います。
- D. 主要業績評価指標(KPI)は、情報セキュリティプログラムに対して定義されています。
正解:A
質問 # 34
災害復旧イベントのコールドサイトは、企業が次のような状況で最も役立ちます。
- A. 寒い彼女のすぐ近くにあります。
- B. 電気通信接続は必要ありません。
- C. カスタム製造が必要な高度に専門化された機器を使用します。
- D. カバレッジの予算が限られています。
正解:D
質問 # 35
新しい組織は、その事業運営に重大な影響を及ぼしているランサムウェア攻撃に見舞われました。組織にはまだ適切なインシデント対応計画がありませんが、データを復元するためのバックアップ手順はあります。次のうちどれが最初の行動方針であるべきですか?
- A. 影響を受けるシステムを分離します。
- B. 経営陣が身代金を支払うことをお勧めします。
- C. 法務部門に連絡してください。
- D. インシデント対応計画を確立します。
正解:D
質問 # 36
複数のデータセンターを持つ組織は、自社施設の1つを復旧サイトとして指定しています。最も重要な懸念事項は次のとおりです。
- A. データセンターでの現在の処理能力負荷。
- B. 各センターの論理的セキュリティの違い。
- C. データセンター間の通信回線容量。
- D. システムソフトウェアリリースバージョンの同期。
正解:A
解説:
説明
データセンターがキャパシティまたはキャパシティの近くで稼働している場合、代替のデータセンターで重要なオペレーションを回復することは困難であることがわかります。回線容量はミラーリングの観点から重要ですが、これは重要なシステムを復元するために必要な容量を確保することに二次的です。比較すると、論理的および物理的セキュリティの違いとシステムソフトウェアリリースの同期は、克服するのがはるかに簡単な問題であるため、それほど心配する必要はありません。
質問 # 37
次のうち、ビジネスケースを作成するときに情報セキュリティへの投資に最も適したものはどれですか
- A. 主要なリスク指標(KRI)は、投資の有効性と効率を測定するために利用可能です
- B. 投資により、保護された資産の固有のリスクが資産の残余リスクを下回ります
- C. 年間損失予測(ALE)は、投資の年間コストよりも大きいです。
- D. 組織の確立されたシステム開発ライフサイクルを使用して、投資を管理できます。
正解:C
質問 # 38
しきい値を低い値に設定して、新しくインストールした侵入検知システム(IDS)の調整に失敗した場合の最も直接的な結果は次のうちどれですか?
- A. 偽陰性の数が増えます
- B. 誤検知の数が増加します
- C. 攻撃プロファイルは無視されます
- D. アクティブなプローブが見逃されています
正解:B
解説:
説明
侵入検知システム(IDS)の調整に失敗すると、特にしきい値が低い値に設定されている場合に、多くの誤検知が発生します。他のオプションは、アラームを鳴らすためのしきい値が低い値に設定されているという事実を考えると、あまりありません。
質問 # 39
情報セキュリティプログラムの有効性を実証するために定期的に上級管理職への報告書に含める最も有用な次のうちどれですか?
- A. 主要リスク指標(クリス)
- B. 主要業績評価指標(KPls)
- C. 重要な成功因子(CSF)
- D. 能力成熟度モデル
正解:B
質問 # 40
内部セキュリティ監査により、認証制御が効果的に機能していないことが報告されました。次のうち、c管理にとって最も重要なものはどれですか?
- A. 組織のリスクプロファイルに対する統制の弱さの影響
- B. より強力な認証制御を実装するためのビジネスケース
- C. このタイプの制御の弱点が他の組織に与える影響の分析
- D. ビジネス影響分析(BIA)の結果
正解:A
質問 # 41
管理者がセキュリティポリシーへの準拠を保証するための最良の方法は次のうちどれですか?
- A. 定期的に独立したレビューを実施します。
- B. セキュリティ業務についてスタッフに質問します。
- C. セキュリティインシデントログを確認します。
- D. コンプライアンスの責任についてスタッフをトレーニングします。
正解:A
質問 # 42
グローバル組織がインシデント対応チーム(IRT)を開発しています。組織はaPインシデントを本社に通知し続け、広く分散したイベントに対して統一された応答を提供できるようにしたいと考えています。これらの目的をサポートするIRTモデルは次のうちどれですか?
- A. Distributed IRT
- B. Holistic IRT
- C. Coordinating IRT
- D. Central IRT
正解:D
質問 # 43
情報セキュリティ意識向上プログラムは
- A. 上級管理職がスポンサー。
- B. 対象読者ごとにカスタマイズされています。
- C. コンピューターベースのトレーニングによって強化されました。
- D. 従業員オリエンテーションで実施。
正解:B
質問 # 44
情報セキュリティに影響する法的および規制上の問題を特定する場合、次のうちどれが情報セキュリティポリシーを開発するための最良のアプローチになりますか?
- A. 規制当局が提供するポリシーステートメントを組み込む
- B. コンプライアンスリスク評価を開発する
- C. 各規制に対応する個別のポリシーを作成します
- D. すべての必須要件を満たすポリシーを開発する
正解:D
解説:
説明
個別のバージョンを作成するよりも、関連するすべての要件をポリシーに組み込む方がはるかに効率的です。
規制当局が提供する声明を使用しても、さまざまな規制当局によって義務付けられている要件のすべてが収集されるわけではありません。コンプライアンスリスク評価は、ポリシーが確立された後に手順がコンプライアンスを保証することを検証する重要なツールです。
質問 # 45
次の分析のうち、組織の情報セキュリティに対する外部の影響を最もよく特定するのはどれですか?
- A. 脆弱性分析
- B. ギャップ分析
- C. 事業影響分析 (BIA)
- D. 脅威分析
正解:D
解説:
Threat analysis is a process that is used to identify and assess the external influences or threats that could potentially affect an organization's information security. It is used to identify potential risks and develop strategies to mitigate or reduce those risks. Threat analysis involves analyzing the environment, identifying potential threats and their potential impacts, and then evaluating the organization's current security measures and developing strategies to address any deficiencies.
質問 # 46
情報セキュリティチームは、従業員のコンピューターが私に感染したことをヘルプデスクから通知されたときに、最初に何をすべきですか?
- A. コンピューターをネットワークから分離します。
- B. マルウェア対策ソフトウェアを使用して、感染したコンピューターを駆除します。
- C. 安全なバックアップからファイルを復元します。
- D. ハードドライブの法医学コピーを取ります。
正解:A
質問 # 47
次のうち、セキュリティ意識向上プログラムの有効性を評価するための最も効果的な方法はどれですか?
- A. 卓上テスト
- B. ソーシャルエンジニアリングテスト
- C. インシデント後のレビュー
- D. 脆弱性スキャン
正解:B
質問 # 48
企業のリスク管理プロセス内に情報セキュリティリスク管理プロセスを統合すると、次のような結果になる可能性があります。
- A. より効果的なセキュリティリスク管理プロセス。
- B. セキュリティ運用の効率が向上しました。
- C. 企業のリスクを軽減する情報セキュリティ管理。
- D. 情報セキュリティ予算の上級管理職の承認。
正解:B
質問 # 49
次のうち、セキュリティ インシデントへの対応中にリソースの割り当てを決定するのに最も適しているのはどれですか?
- A. 上級管理職のコミットメント
- B. 事業継続計画(BCP)
- C. 重大度の定義レベル
- D. 確立されたエスカレーション プロセス
正解:C
解説:
Defined levels of severity is the best determinant of the allocation of resources during a security incident response. Having defined levels of severity allows organizations to plan for and allocate resources for each level of incident, depending on the severity of the incident. This ensures that the right resources are allocated in a timely manner and that incidents are addressed appropriately.
質問 # 50
情報セキュリティガバナンスのフレームワークを開発する場合、次のうちどれがFIRST活動すべきですか?
- A. セキュリティ侵害の閉鎖を検出し、確保するための対応策を策定します。
- B. システムのdevetoojtamのライフサイクル・プロセス内のセキュリティを統合します。
- C. アライン組織の他のリスクとコントロール活動と情報セキュリティプログラム。
- D. フレームワークをサポートするためのポリシーと手順を策定します。
正解:C
質問 # 51
ビジネス影響分析(BIA)を実施する主な目的は次のうちどれですか?
- A. リスク軽減オプションの特定
- B. 主要なビジネスリスクの特定
- C. 脅威環境の特定
- D. 重要なビジネスプロセスを特定する
正解:D
質問 # 52
企業にBYOD(Bring Your Own Device)モバイルプログラムを導入する際の情報セキュリティマネージャーの主な課題は次のうちどれですか?
- A. 構成管理
- B. エンドユーザーの受け入れ
- C. 異なるデバイスのセキュリティ
- D. モバイルアプリケーション制御
正解:D
質問 # 53
ソーシャルメディアの使用を通じてもたらされる感染のリスクを軽減するために、意識向上プログラムが実施されています。
- A. 意識向上プログラムへの従業員の出席率
- B. シミュレートされたソーシャルエンジニアリング攻撃
- C. 意識向上プログラム後の調査
- D. 意識向上プログラムの資料に基づくクイズ
正解:B
質問 # 54
使用するフェイルオーバー サイトのタイプを決定する際に最も重要な考慮事項は、次のうちどれですか?
- A. ディザスタリカバリのテスト結果
- B. 目標復旧時間 (RTO)
- C. データ保持要件
- D. 相互協定
正解:B
解説:
The most important consideration when determining which type of failover site to employ is the recovery time objectives (RTOs). A failover site is a backup site that can be used to restore the functionality and operations of an organization's primary site in the event of a disaster or disruption. There are different types of failover sites, such as hot sites, warm sites, and cold sites, that vary in terms of availability, cost, and complexity. A recovery time objective (RTO) is a metric that defines the maximum acceptable amount of time that an organization can tolerate to restore a system or an application after a disaster or disruption. By determining the RTOs for each system or application, the organization can choose the most suitable type of failover site that can meet its recovery needs and expectations. For example, if the RTO for a critical system is very low, the organization may opt for a hot site that can provide immediate failover and minimal downtime. However, if the RTO for a non-critical system is high, the organization may choose a cold site that requires manual setup and activation, but has lower cost and maintenance. The other options are not the most important consideration when determining which type of failover site to employ, although they may be some factors or constraints that affect the decision. Reciprocal agreements are arrangements between two or more organizations that agree to provide backup facilities or resources to each other in case of a disaster or disruption. Reciprocal agreements can help reduce the cost and complexity of setting up and maintaining a failover site, but they may not guarantee the availability or compatibility of the backup facilities or resources. Disaster recovery test results are outcomes of testing and validating the functionality and performance of a failover site. Disaster recovery test results can help evaluate and improve the effectiveness and efficiency of a failover site, but they do not determine which type of failover site to employ. Data retention requirements are policies and regulations that define how long and in what format an organization must store its data. Data retention requirements can affect the design and configuration of a failover site, but they do not dictate which type of failover site to employ
質問 # 55
企業にBYOD(Bring Your Own Device)モバイルプログラムを導入する際の情報セキュリティマネージャーの主な課題は次のうちどれですか?
- A. 構成管理
- B. 一貫性のないデバイスセキュリティ
- C. モバイルアプリケーション制御
- D. エンドユーザーの受け入れ
正解:B
質問 # 56
......
CISM日本語試験問題集簡単なまとめ:https://jp.fast2test.com/CISM-JPN-premium-file.html