- ホーム
- ISACA
- CISM-JPN - Certified Information Security Manager (CISM日本語版)
- ISACA.CISM-JPN.v2024-04-15.q259
- 質問164
有効的なCISM-JPN問題集はJPNTest.com提供され、CISM-JPN試験に合格することに役に立ちます!JPNTest.comは今最新CISM-JPN試験問題集を提供します。JPNTest.com CISM-JPN試験問題集はもう更新されました。ここでCISM-JPN問題集のテストエンジンを手に入れます。
CISM-JPN問題集最新版のアクセス
「964問、30% ディスカウント、特別な割引コード:JPNshiken」
組織の内部ネットワーク上の定期的な脆弱性スキャンにより、多くのユーザー ワークステーションにパッチが適用されていないバージョンのソフトウェアが存在することが判明しました。情報セキュリティ管理者が上級管理者に関連リスクを理解させるための最善の方法は何ですか?
正解:A
Explanation
Including the impact of the risk as part of regular metrics is the best way for the information security manager to help senior management understand the related risk of having many user workstations with unpatched versions of software because it quantifies and communicates the potential consequences and likelihood of such a risk in terms of business objectives and performance indicators. Recommending the security steering committee conduct a review is not a good way because it does not provide any specific information or analysis about the risk or its impact. Updating the risk assessment at regular intervals is not a good way because it does not ensure that senior management is aware or informed about the risk or its impact. Sending regular notifications directly to senior managers is not a good way because it may be perceived as intrusive or annoying, and may not convey the severity or urgency of the risk or its impact. References:
https://www.isaca.org/resources/isaca-journal/issues/2015/volume-6/measuring-the-value-of-information-securit
https://www.isaca.org/resources/isaca-journal/issues/2017/volume-3/how-to-measure-the-effectiveness-of-your-i
Including the impact of the risk as part of regular metrics is the best way for the information security manager to help senior management understand the related risk of having many user workstations with unpatched versions of software because it quantifies and communicates the potential consequences and likelihood of such a risk in terms of business objectives and performance indicators. Recommending the security steering committee conduct a review is not a good way because it does not provide any specific information or analysis about the risk or its impact. Updating the risk assessment at regular intervals is not a good way because it does not ensure that senior management is aware or informed about the risk or its impact. Sending regular notifications directly to senior managers is not a good way because it may be perceived as intrusive or annoying, and may not convey the severity or urgency of the risk or its impact. References:
https://www.isaca.org/resources/isaca-journal/issues/2015/volume-6/measuring-the-value-of-information-securit
https://www.isaca.org/resources/isaca-journal/issues/2017/volume-3/how-to-measure-the-effectiveness-of-your-i
- 質問一覧「259問」
- 質問1 セキュリティ分類に従って情報にラベルを付ける:
- 質問2 攻撃が成功した後、情報セキュリティ管理者は、どのインシデント
- 質問3 サーバーが攻撃された場合、最善の行動は次のうちどれですか?
- 質問4 電子メールのデジタル署名は次のことを行います。
- 質問5 情報セキュリティ管理者にとって、組織のさまざまな保証機能を統
- 質問6 次のうち、情報資産の固有のリスクに最も影響を与えるのはどれで
- 質問7 インシデント対応チームの有効性は、次の場合に最も高くなります
- 質問8 インシデント後の情報セキュリティ レビューで最も優先度が高い
- 質問9 組織のリスク登録簿に記録する最も重要な詳細は次のうちどれです
- 質問10 組織はデジタル トランスフォーメーション プロセスを経ており、...
- 質問11 セキュリティ ポリシーを作成する主な目的は次のとおりです。
- 質問12 次のうち、情報セキュリティ文化の成功を最もよく示すものはどれ
- 質問13 次の要因のうち、情報セキュリティ戦略の目標の実装を成功させる
- 質問14 シングル サインオン (SSO) の主な利点は、次のことです。...
- 質問15 最近のセキュリティ インシデントの調査により、根本原因は、こ
- 質問16 次のうち、特権アクセス制御の失敗に関連するリスクを負うのに最
- 質問17 情報セキュリティ予算の増加に関するビジネス ケースを最も適切
- 質問18 インシデント後のレビューの主な目標は次のとおりです。
- 質問19 組織の事業継続計画 (BCP) が 1 年以上見直しまたは更新されてい...
- 質問20 情報セキュリティ ポリシーを確実に理解させるための最も効果的
- 質問21 グローバルにビジネスを展開する組織は、給与情報を処理するため
- 質問22 インシデント管理チームは、疑わしいセキュリティ イベントにつ
- 質問23 ランサムウェア事件の後、組織のシステムは復元されました。情報
- 質問24 セキュリティイニシアチブの効果的な戦略的調整を促進する最も優
- 質問25 分散型サービス拒否 (DDoS) 攻撃に対する有効な封じ込め戦略は次...
- 質問26 組織が成熟した情報セキュリティ文化を持っていることを最もよく
- 質問27 情報セキュリティ ガバナンス フレームワークの主な目的は次のう...
- 質問28 セキュリティ意識向上プログラムを組織のビジネス戦略に合わせる
- 質問29 新しいサイバーセキュリティ規制が導入された後、情報セキュリテ
- 質問30 情報セキュリティインシデント時の効果的なコミュニケーションを
- 質問31 次のうち、組織全体で実施された最近の情報セキュリティ意識向上
- 質問32 組織が破壊的なイベントに遭遇した場合、主に以下に基づいて事業
- 質問33 次の指標のうち、組織の情報セキュリティ プログラムの有効性を
- 質問34 セキュリティ リスクを認識する文化を構築する上で、従業員に伝
- 質問35 事業継続計画 (BCP) のテストを実施する際に、最も重要な考慮事...
- 質問36 組織の人事部門は、政府の規制に準拠するために、解雇後 3 日以...
- 質問37 次のうち、情報セキュリティ戦略が「&
- 質問38 次のうち、情報セキュリティ マネージャーがセキュリティ コント...
- 質問39 情報セキュリティ管理者は、間もなく展開されるオンライン アプ
- 1コメント質問40 経営陣のスポンサーシップとビジネス連携に加えて、情報セキュリ
- 質問41 ある組織は最近、情報セキュリティ ポリシーと基準を更新し、公
- 質問42 最も正確な統制評価をもたらすのは次のうちどれですか?
- 質問43 クラウドベースのモデルへの移行を決定する場合、最初に考慮すべ
- 質問44 組織内でリスク所有者を割り当てる主な理由は次のうちどれですか
- 質問45 セキュリティ リスク管理を組織に統合する場合、次のことを確認
- 質問46 典型的なサービスとしてのインフラストラクチャ (laaS) モデルで...
- 質問47 情報セキュリティ予算の割り当て方法を定義する際に最も重要なの
- 質問48 ソフトウェア プロジェクトのシステム開発ライフ サイクル (SDLC...
- 質問49 リスクを許容レベルまで軽減するための最適なコントロールを選択
- 質問50 ベンダー リスク管理プロセスの有効性を示す最も良いものは次の
- 質問51 複数の店舗を持つ小売業者の新しく任命された情報セキュリティ
- 質問52 インシデント対応チームに、複数のシステムにわたる内部脅威のア
- 質問53 ハードディスクからフォレンジック データを取得する際に、ディ
- 質問54 情報セキュリティ プログラムの有効性にとって最も重要なのは次
- 質問55 情報セキュリティ管理者がインシデントを上級者にエスカレーショ
- 質問56 情報セキュリティ戦略とビジネス目標の整合性を示す最も効果的な
- 質問57 リスクの再評価は、次の場合に最も重要です。
- 質問58 次のうち、情報セキュリティ プログラムの付加価値を最もよく示
- 質問59 認定された第三者によって侵入テストが実施された 情報セキュリ
- 質問60 ビジネス影響分析 (BIA) を実行する場合、最初の目標復旧時間 (R...
- 質問61 サードパーティ プロバイダーが組織の情報セキュリティ要件に準
- 質問62 組織は、未使用と思われる大量の古いデータを特定しました。情報
- 質問63 継続的なアップタイムが必要な場合に、代替処理サイトの有効性を
- 質問64 情報セキュリティ マネージャーは、新しいアウトソーシング サー...
- 質問65 データ分類との整合性を確保するためにユーザー アクセス許可を
- 質問66 次の分析のうち、組織の情報セキュリティに対する外部の影響を最
- 質問67 インシデント後のレビューで最も重要な結果は次のうちどれですか
- 質問68 インシデント後の攻撃のレビューを行う際に、情報セキュリティ管
- 質問69 情報セキュリティに関連する主要リスク指標 (KRI) を監視する主...
- 質問70 次のうち、目標復旧時点 (RPO) が必要なのはどれですか?
- 質問71 インシデント対応計画の有効性を判断する最良の方法は次のうちど
- 質問72 次のうち、リスク軽減の例はどれですか?
- 質問73 情報セキュリティ管理者が全機能の継続性テストを実施する前に検
- 質問74 次のうち、リスク所有者の責任はどれですか?
- 質問75 上級管理者に対する情報セキュリティ プログラムの状況報告の主
- 質問76 次のうち、災害復旧計画 (DRP) を実行する能力に最もプラスの影...
- 質問77 オンライン バンクは、進行中のネットワーク攻撃の成功を特定し
- 質問78 組織の情報セキュリティ管理者は、次のイベントが発生したセキュ
- 質問79 サイバーセキュリティインシデントへの対応が成功した後の教訓演
- 質問80 機密性の高いデータを格納する重要なシステムを開発する際に、情
- 質問81 インシデント対応計画にインシデント分類基準を含めることの最大
- 質問82 情報セキュリティインシデント対応プロセスの主な目的は次のうち
- 質問83 緊急セキュリティ パッチを受け取る場合、パッチ管理手順の最初
- 質問84 情報セキュリティ管理者は、IT 担当者が情報セキュリティ ポリシ...
- 質問85 組織は最近、ミッション クリティカルなビジネス アプリケーショ...
- 質問86 上級管理者は、組織の侵入防止システム (IPS) が業務運営を繰り...
- 質問87 クラウドプロバイダーとインシデント対応戦略を策定する際に最も
- 質問88 ある組織は、ノート PC、ケーブル ワイヤー ロック、スマートフ...
- 質問89 次のうち、資産の価値を決定するための主要な基準となるべきもの
- 質問90 リスク評価の実施により、サービス拒否 (DoS) 攻撃の脅威が特定...
- 質問91 情報資産の保護レベルを決定する際に、最も参考になるのは次のう
- 質問92 効果的なリスク意思決定をサポートするために、次のうちどれを用
- 質問93 頻繁に発生するインシデントがユーザーのセキュリティ意識向上ト
- 質問94 情報セキュリティ プログラムの成熟度を判断するために使用する
- 質問95 ビジネス提案では、潜在的なベンダーは、セキュリティ機能の尺度
- 質問96 効果的な情報資産分類プロセスを可能にするのに最も適しているの
- 質問97 インターネット上で送信されるデータの機密性を保護するための最
- 質問98 組織は、人気のあるソーシャル ネットワーク プラットフォームを...
- 質問99 情報セキュリティ管理の有効性を上級管理職に示すために最も適切
- 質問100 情報セキュリティ管理者は、セキュリティ インシデントのコミュ
- 質問101 情報セキュリティ プログラムの成功にとって最も重要な要素は次
- 質問102 最近確立された情報セキュリティ プログラムが効果的であるとい
- 質問103 最近の監査により、組織の新しいユーザー アカウントが均一に設
- 質問104 経営陣は、社内でホスティングする場合と比較して、サービスとし
- 質問105 ランサムウェア攻撃に対応する際の主な考慮事項は、次のことを確
- 質問106 次のうち、サードパーティプロバイダーで情報セキュリティインシ
- 質問107 インシデント対応チームは、アプリケーションが侵害されたことを
- 質問108 情報セキュリティ ガバナンス フレームワークを承認する責任は誰...
- 質問109 日次監視レポートにより、IT 従業員が変更管理プロセスの外でフ...
- 質問110 次のうち、情報セキュリティ ガバナンスをコーポレート ガバナン...
- 質問111 脅威と脆弱性の評価は、主に次の理由から重要です。
- 質問112 インシデント後のレビューを実施する際の最初のステップは次のう
- 質問113 組織は、Software as a Service (SaaS) の利用を計画しており、...
- 質問114 組織が直面している進行中の脅威について、最も包括的な洞察を提
- 質問115 組織のセキュリティ体制を改善する取り組みに最も大きな影響を与
- 質問116 次のうち、リスクを軽減する組織の現在の能力を判断するのに最も
- 質問117 セキュリティ ギャップに対処するためのアウトソーシングの承認
- 質問118 情報セキュリティ ガバナンス フレームワークの有効性は、次の場...
- 質問119 ある組織は、顧客データを分析するためのビッグ データ ソリュー...
- 質問120 インシデント対応計画を策定する際に、主に考慮する必要があるの
- 質問121 組織は、規制の対象となる新しいサービスをクライアントに提供す
- 質問122 PC のフォレンジック検査が必要ですが、PC の電源がオフになって...
- 質問123 セキュリティ インシデントを検出する最も効果的な方法は次のう
- 質問124 次のうち、企業と情報セキュリティ ガバナンスの整合性を示す最
- 質問125 情報セキュリティ戦略を提示する際に上級リーダーのサポートを得
- 質問126 ある組織が、新しい BYOD (Bring Your Own Device) プログラムを...
- 質問127 情報セキュリティ プログラムを成功させるために最も重要な要素
- 質問128 個人情報保護に関連する新しい世界的な規制に準拠するための最良
- 質問129 持続的標的型攻撃 (APT) から企業を保護するのに最も役立つのは...
- 質問130 次の望ましい結果のうち、新しいセキュリティ イニシアチブに投
- 質問131 ACISO は、サード パーティのサービス プロバイダーが、サービス...
- 質問132 Web ベースのアプリケーションのデータ入力機能は、リモート サ...
- 質問133 組織は、重要なシステム停止に関連するビジネス リスクを軽減す
- 質問134 情報セキュリティ管理者は、組織が実装を望んでいる新しいテクノ
- 質問135 フォレンジック分析中に特定のファイルのデータ回復を試みる際の
- 質問136 セキュリティ制御を継続的に監視する主な目的は、以下を確保する
- 質問137 アプリケーションのセキュリティ制御を実装するコストを削減する
- 質問138 次のうち、情報セキュリティ ガバナンスの企業ガバナンスへの統
- 質問139 次のうち、セキュリティ レポートで将来を見据えた傾向を伝える
- 質問140 許容可能なリスク レベルを決定する際、最も重要な考慮事項は次
- 質問141 ある従業員が、企業情報を含む個人用モバイル デバイスの紛失を
- 質問142 インターネット経由で電子メール システムにアクセスするときに
- 質問143 標的型電子メール攻撃によるセキュリティ インシデントのリスク
- 質問144 次のうち、効果的な情報セキュリティ ガバナンスの最良の指標は
- 質問145 組織内の高度な持続的脅威 (APT) を監視する最良の方法は次のう...
- 質問146 組織のリスク選好がリスク対応プロセスの一部として考慮されるよ
- 質問147 情報セキュリティ イニシアチブの投資収益率 (ROI) を計算するの...
- 質問148 サイバーセキュリティの脅威状況を定期的にレビューする主な理由
- 質問149 組織は、従業員が所有するスマートフォンに重要な機密情報を保存
- 質問150 セキュリティ例外を許可する主な理由は次のうちどれですか?
- 質問151 BYOD (Bring Your Own Device) プログラムに関連するリスクを軽...
- 質問152 新しい情報セキュリティ管理者が、規制対象外の組織の情報セキュ
- 質問153 次のうち、情報セキュリティ ガバナンスの望ましい結果はどれで
- 質問154 新しい情報セキュリティ管理者が情報セキュリティ ガバナンス プ...
- 質問155 効果的な情報セキュリティ ガバナンスのフレームワークを維持す
- 質問156 組織がインシデント対応計画のプロセスと手順を強化できるように
- 質問157 効果的なリスク治療の最も重要な成果は次のうちどれですか?
- 質問158 社内の重要なアプリケーション、データベース、またはサーバーの
- 質問159 組織の品質プロセスは、以下を提供することにより、セキュリティ
- 質問160 Software as a Service (SaaS) モデルを採用する際に、顧客組織...
- 質問161 次のうち、マルウェア インシデントが特定された直後に発生しな
- 質問162 組織の主な製品は、Software as a Service (SaaS) を使用して提...
- 質問163 組織の環境の変化により、セキュリティ管理が適切でなくなる場合
- 質問164 組織の内部ネットワーク上の定期的な脆弱性スキャンにより、多く
- 質問165 組織の情報セキュリティ ポリシーを確立する際に最も重要な考慮
- 質問166 セキュリティ管理の労力が大幅に削減されるのは、次の手法のうち
- 質問167 災害復旧に対する目標復旧時点 (RPO) の貢献は次のとおりです。...
- 質問168 組織が保管する情報を適切に保護するために最も重要なことは、次
- 質問169 ある組織は、シフトベースのスタッフが共有するデスクトップ コ
- 質問170 継続計画にエンド ユーザーを関与させる主な利点は、次の点です
- 質問171 次の活動のうち、違反につながる統制の失敗を処理するように設計
- 質問172 機密情報が誤って組織外に拡散した場合の最善の行動は次のうちど
- 質問173 重要なシステム間の関係は、
- 質問174 組織は、インシデント対応機能をパブリック クラウド サービス ...
- 質問175 オンライン企業が進行中のネットワーク攻撃を発見した場合の最善
- 質問176 情報セキュリティ戦略を策定する際に考慮すべき最も重要な制約は
- 質問177 目標復旧時間 (RTO) は、次のどれによって出力されますか?...
- 質問178 新しいサーバーが適切に保護されていることを最も効果的に保証で
- 質問179 ある組織は、販売部門を拡張するためにインターネット販売会社を
- 質問180 インシデント後のレビューを実行する主な目的は、次のとおりです
- 質問181 情報セキュリティ プロファイルがビジネス要件と一致しているか
- 質問182 経営陣は、新しい会社の買収を発表しました。親会社の情報セキュ
- 質問183 ビジネス システムの更新後に脆弱性評価を実行する主な目的は何
- 質問184 情報セキュリティが組織の戦略と一致していることを確認する最も
- 質問185 データ損失防止 (DLP) ソリューションを実装する主な利点は次の...
- 質問186 情報資産を分類しているときに、情報セキュリティ管理者は、いく
- 質問187 組織のサイバーセキュリティ プログラムがビジネスのニーズを満
- 質問188 セキュリティ管理のパフォーマンスが向上したことを示す最良の証
- 質問189 情報セキュリティ チームは、ユーザーがアクセス ポリシーに違反...
- 質問190 民事訴訟がセキュリティ インシデントに対する組織の対応の目標
- 質問191 組織は、新しいセキュリティ インシデント対応要件に準拠する必
- 質問192 インシデント対応チームは、経験豊富な個人のグループから編成さ
- 質問193 出現しつつある高度で持続的な脅威 (APT) 攻撃者から保護するた...
- 質問194 A Seat a-hosting 組織のデータセンターには、サーバー、アプリ...
- 質問195 情報セキュリティ インシデントを調査するときは、インシデント
- 質問196 次のうち、事業継続計画 (BCP) 内のトリガーを定義しているのは...
- 質問197 情報セキュリティ状況レポート管理に含めるのが最も重要なのは次
- 質問198 次の役割のうち、組織内のセキュリティ文化に最も影響を与えるこ
- 質問199 セキュリティ管理策を継続的に監視する主な目的は、次のことを保
- 質問200 次のうち、ランサムウェア インシデント後の重要なシステムとデ
- 質問201 適切なセキュリティ制御がソフトウェアに組み込まれていることを
- 質問202 次のうち、パスワード ポリシーを改訂する最も適切な理由はどれ
- 質問203 マネージド セキュリティ ソリューションの主なメリットは次のう...
- 質問204 組織はシステムのセキュリティ上の欠陥を修復しました。次に行う
- 質問205 成熟した情報セキュリティ プログラムを最もよく示すものは次の
- 質問206 情報セキュリティ戦略を策定する最初のステップは次のうちどれで
- 質問207 次のうち、情報セキュリティ プログラムに対する上級管理職のコ
- 質問208 バランス スコアカードは、情報セキュリティを最も効果的に実現
- 質問209 セキュリティ インシデントの分類方法を開発する場合、カテゴリ
- 質問210 インシデント分類における重大度基準の欠如に起因する最大の懸念
- 質問211 組織内でセキュリティインシデントが報告されました。情報セキュ
- 質問212 重要なビジネス アプリケーションの可用性を損なう可能性のある
- 質問213 最小権限の原則を実装するには、主に次の識別が必要です。
- 質問214 組織の情報セキュリティ プログラムの状況を取締役会に証明する
- 質問215 適用されるデータプライバシー規制に準拠する必要がある新しいデ
- 質問216 次のうち、資産評価を決定する際に考慮すべき最も重要なものはど
- 質問217 ある組織は、クラウドベースのアプリケーションの実装を開始しよ
- 質問218 次のうち、情報セキュリティ プログラムへの継続的な投資を最も
- 質問219 次のうち、インシデント対応計画の効果的な実行を容易にするのは
- 質問220 機器およびソフトウェア ベンダーの代表者の連絡先情報を含める
- 質問221 インシデント対応計画を作成する際に最も重要なことは次のうちど
- 質問222 組織は、その環境における外部からのブルート フォース攻撃の脅
- 質問223 次のうち、組織の情報セキュリティ戦略に最も大きな影響を与える
- 質問224 ある組織が新しい会社を買収しようとしています。統合前に新たに
- 質問225 ある組織は IT 運用をアウトソーシングすることを決定しました。...
- 質問226 フィッシング対策キャンペーンが効果的であることを証明する最も
- 質問227 情報セキュリティ管理者がセキュリティとビジネスの目標を調整す
- 質問228 次のうち、セキュリティ インシデントへの対応中にリソースの割
- 質問229 組織は、新しい市場で優位に立つために外国の会社を買収しました
- 質問230 組織が情報セキュリティ ガバナンスとコーポレート ガバナンスを...
- 質問231 情報セキュリティ管理者は、情報が不適切に分類されていると考え
- 質問232 従業員のセキュリティ意識向上トレーニング プログラムの後、ど
- 質問233 次のセキュリティ プロセスのうち、システムの脆弱性の悪用を最
- 質問234 情報セキュリティ ポリシーを作成する際に最も役立つものは次の
- 質問235 戦略的な情報セキュリティの決定を下すための最良のアプローチは
- 質問236 機密情報へのリモート アクセスが分析目的でベンダーに許可され
- 質問237 情報セキュリティ ガバナンス プログラムに対する幹部のコミット...
- 質問238 変更管理委員会に情報セキュリティ マネージャーが参加する最も
- 質問239 ビジネスに合わせた情報セキュリティ プログラムを計画する際に
- 質問240 インシデント対応プロセスにおける撲滅フェーズの主な目標は次の
- 質問241 次のうち、情報セキュリティインシデント分類の重大度階層の主要
- 質問242 ビジネス影響分析 (BIA) を実行する場合、誰が復旧時間とコスト...
- 質問243 データ所有者がユーザーのアクセス権限を定義する際に使用する最
- 質問244 ビジネス影響分析 (BIA) の主な目的は次のうちどれですか?...
- 質問245 ソフトウェア開発プロジェクトにおける情報セキュリティ管理者の
- 質問246 インシデント対応計画をタイムリーに実行するには、次のうちどれ
- 質問247 データ侵害後のインシデント後のレビューに含めることが最も重要
- 質問248 コントロールを実装する際に、リスク所有者から意見を得る最も重
- 質問249 事業継続計画 (BCP) で復旧戦略を定義する際に最も重要な考慮事...
- 質問250 ランサムウェア攻撃から回復するためのインシデント対応計画をテ
- 質問251 次のうち、事業継続管理の最も重要な考慮事項はどれですか?
- 質問252 脆弱性評価プロセスを実装する主なメリットは次のうちどれですか
- 質問253 新しいソフトウェア アプリケーションの開発効率を向上させるに
- 質問254 サイバー レジリエンス戦略の主な目的は次のうちどれですか?
- 質問255 情報セキュリティ プログラムの要件が雇用および人員配置のプロ
- 質問256 リスク評価の結果、組織は、BYOD (Bring Your Own Device) 戦略...
- 質問257 組織は、IT アプリケーションの社内ホスティングとサポートを置...
- 質問258 情報セキュリティへの投資を正当化するビジネス ケースを作成す
- 質問259 スプーフィングは次の目的で使用される可能性があるため、防止す
