2022リアルなCISMダンプ最新ISACAプラクティステストダンプス[Q66-Q85]

2022現実的なCISMのダンプス最新のISACAプラクティステストダンプス

CISM Dumps PDF - CISMの実際の試験問題の回答

ターゲットは誰なのか？

CISMの主なトピックについてご理解いただけたと思いますが、この資格の主な対象者についても知っておく必要があります。何よりもまず、CISMは管理職を対象としています。この資格の取得者は、組織の情報セキュリティ機能を設計、監督、計算することができます。さらに、これらの専門家は、情報セキュリティの管理において最低5年の業界経験がなければなりません。Isacaは、2年までの実務年数の免除を認めることがあります。

ISACA CISM：知っておくべき試験の詳細とは？

CISM認定試験は通常4時間程度で、150問出題されます。試験は多肢選択式で、不正解を選んでもマイナス点はありません。しかし、正解は同じ問題内で無効になります。従って、自分が確信している答えだけを選ぶようにしましょう。各問題は、その難易度によって点数が異なります。合格するには800点満点中450点以上必要です。試験は簡体字中国語、英語、日本語、スペイン語で行われます。受験バウチャーは$760円、会員登録の場合は$575円です。

なぜCISMは管理職に強く推奨されるのか？

CISMは、情報セキュリティ領域で管理的な役割を担う専門家が必要とする最高の資格の1つです。セキュリティ管理者、IT管理者、セキュリティ管理者、上級システム管理者などが該当します。このIsaca認定資格を取得することで、CISMの試験範囲は戦略的にIS管理の全側面を強調するため、あなたのキャリアに付加価値を与えます。

したがって、スキルだけでなく、技術的な熟練度もレベルアップしたい場合、この資格は目的を達成するのに役立ちます。CISMが技術専門家の間で有名なもう一つの点は、それが給与ブースターとして役立つという事実です。これをプロフィールに記載することで、雇用主は前もってあなたのスキルを見分けることができます。したがって、CISM認定者は、PayScaleが述べるように、$123,000+以上の平均給与を手にしており、これは非認定セキュリティ専門家が稼ぐよりも比較的高い。

さらに、他のIsaca認定資格を選択することもできる。CISMに関連する追加トラックはないが、CISA-公認情報システム監査人、CSX-P-サイバーセキュリティ・プラクティショナー認定などの代替資格を選択することができる。

質問66
職員による不適切なインターネット利用の潜在的な指標はどれか。

 パスワード再設定に関するヘルプデスクへの問い合わせの増加

 ファイアウォールへのPing送信回数の削減

 システム・パフォーマンスの低下に関する報告の増加

 脆弱性スキャンによる弱点の増加

質問67
情報セキュリティ運営委員会のメンバーを選定する際に、最も重要な考慮事項はどれか。

 クロスファンクショナル・コンポジション

 情報セキュリティの専門知識

 組織での在職期間

 ビジネス専門知識

セクション情報セキュリティプログラム管理

質問68
企業全体で暗号を使用するための標準/手順を文書化する：

 暗号を使用すべき状況を定義する。

 暗号アルゴリズムと鍵の長さを定義する。

 暗号鍵の取り扱い手順を説明する。

 暗号ソリューションの使用を確立する。

セクション情報セキュリティプログラム管理
説明する：
暗号を使用すべき状況を定義すべきである。暗号アルゴリズムと鍵の長さの選定をカバーする必要があるが、正確には定義すべきで はない。しかし、これは暗号をいつ、どのように使用すべきかということについては二の次である。暗号ソリューションの使用についても言及すべきであるが、これも二次的な検討事項である。

質問69
ある多国籍企業が、個人所有のデバイスにモバイルデバイス管理（MDM）ソフトウェアのインストールを義務付けるBYOD（Bring Your Own Device）ポリシーを策定しました。このポリシーを実施する上で、最も大きな課題となるのは次のうちどれでしょうか。

 モバイルOSプラットフォームの違い

 従業員のデータ・プライバシー権の変化

 企業文化の違い

 政策の翻訳と伝達

質問70
情報セキュリティの評価に評価指標を使用する主な理由は、以下のとおりである：

 セキュリティの弱点を特定する。

 予算支出を正当化する。

 着実な改善を可能にする。

 セキュリティ問題に対する意識を高める。

測定基準の目的は、継続的な改善を促進し、追跡することである。セキュリティ上の弱点をすべて特定することはできない。指標は意識を高め、一定の支出を正当化するのに役立つだろうが、これは主な目的ではない。

質問71
ある基幹業務部門が、現在のセキュリティ基準を満たしておらず、企業ネットワークを脅かしている効果的なレガシーシステムに依存している。この状況に対処するための最善策はどれか。

 不備な点をリスク登録簿に記録する。

 レガシーシステムを他のネットワークから切り離す。

 基準を満たす新しいシステムの導入を義務付ける。

 欠陥を補うプロセスを開発する。

質問72
リスクマネジメントプログラムの第一の目標はどれか。

 脅威に対する予防策を実施する。

 内在するリスクのビジネスへの影響を管理する。

 組織方針の遵守を管理する。

 組織のリスク選好度を下げる。

セクション情報リスク管理

質問73
高セキュリティのデータセンターを保護するバイオメトリック・アクセス・コントロール・システムを構成する場合、システムの感度レベルを設定する必要がある：

 より高い偽の拒絶率（FRR）。

 より低いクロスオーバーエラー率に。

 より高い偽検収率（FAR）。

 を正確にクロスオーバーエラー率に置き換えた。

セクション情報セキュリティプログラム開発
説明する：
バイオメトリクス・アクセス制御システムは無謬ではない。解決策を調整する場合、システムが有効なユーザーのアクセスを誤って拒否する、または誤って無効なユーザーのアクセスを許可する、偽の拒否率（タイプIエラー率）のどちらかを優先するように感度レベルを調整しなければならない。バイオメトリック・システムの感度を調整すると、これらの値は反比例して変化します。ある時点で、2つの値は交差し、等しくなります。この状態が、システム精度の尺度である交差エラー率を生み出す。偽の不合格の可能性が問題となるシステムでは、感度を下げ、偽の合格の数を増やすことが必要な場合があります。これは等エラー率（EER）と呼ばれることもある。非常に高感度なシステムでは、誤認識の数、つまりアクセスを許可された未認証者の数を最小にすることが望ましいかもしれない。これを行うために、システムはより高感度になるように調整され、その結果、アクセスを許可されない許可された人の数である偽の拒否の数が増加する。

質問74
組織の技術基盤の変更によってもたらされる脆弱性を特定するために、最も役立つのはどれか。

 侵入検知システム

 セキュリティ・ベースラインの確立

 侵入テスト

 ログ集計と相関

質問75
高可用性を保証するeビジネスBESTのアーキテクチャはどれか。

 隣接するホットサイトと、重要データのミラーコピーを備えたスタンバイサーバーの可用性

 シングル・ポイント・オブ・エントリーにより、トランザクションの迅速な受領と処理が可能になる。

 ダウンしたシステムから代替システムへトランザクションを誘導するインテリジェントなミドルウェア

 ユーザーのニーズを満たす他のeビジネスのウェブサイトへの自動フェイルオーバー

質問76
ある組織では、すべての犯罪行為を起訴する方針をとっている。従業員が会社のコンピュータを使用して不正行為を行った疑いがある場合、情報セキュリ ティマネージャーが最も重要視すべきことは何ですか?

 直ちにフォレンジック・プロセスが開始される

 インシデント対応計画は開始される

 従業員のログファイルがバックアップされる

 上層部に状況を報告

セクション情報セキュリティプログラム管理

質問77
パスワードの自動同期を導入する主な利点は、以下のとおりである：

 全体的な管理業務の負担を軽減する。

 多層システム間のセキュリティを高める。

 これにより、パスワードの変更頻度を減らすことができる。

 二要素認証の必要性を減らす。

説明
パスワードの自動同期は、パスワードのリセットにかかる全体的な管理作業負荷を軽減する。多階層システム間のセキュリティを高めたり、パスワードの変更頻度を減らしたり、二要素認証の必要性を減らしたりするものではない。

質問78
技術的な管理がない場合、会社支給の携帯端末での不正なテキストメッセージを減らす最善の方法は何でしょうか？

 ビジネスインパクト分析（BIA）を実施し、経営陣に報告書を提出する。

 企業のモバイル使用ポリシーを更新し、テキストを禁止する。

 組織が管理を実施できるようになるまで、モバイルデバイスの提供を停止する。

 セキュリティ意識向上研修に、禁止されているテキストの話題を含める。

セクション情報セキュリティプログラム管理

質問79
次のうち、情報セキュリティ管理者が、危殆化した3件のハードディスクを分析する調査プロセスにおいて、最も重要な考慮事項はどれか。

 チェーン・オブ・カストディの維持

 関係者への通知

 マルウェアの関連株を特定する

 保存データの分類の決定

質問80
変更管理プロセスにおいて、既存のアプリケーションに新たなエクスポージャが導入されていないことを確認するために、最も適切な担当者は次のうちどれか。

 システムアナリスト

 システムユーザー

 オペレーション・マネージャー

 データセキュリティ・オフィサー

セクション情報セキュリティプログラム管理
説明する：
システム利用者、特に利用者受入テスト担当者は、変更管理プロセス中に新たな曝露が導入され ていないかどうかを確認する上で最も適した立場にいる。システム設計者やシステムアナリスト、データセキュリティオフィサー、運用マネジャーは、 コード変更のテストにそれほど密接に関与しないだろう。

質問 81
事業継続プログラムを策定する際、最初に決定すべきはどれか。

 情報処理施設の再建費用

 システムが利用できないことによる1日あたりの増加コスト

 オフサイト回収施設の場所と費用

 個々の復興チームの構成と使命

説明／参照
説明する：
詳細な事業継続計画を作成する前に、さまざまなシステムを失った場合の1日当たりのコストの増分を決定することが重要である。これにより、復旧時間の目標が決定され、オフサイトの復旧施設の場所とコスト、個々の復旧チームの構成と任務に影響を与える。情報処理施設を再建するコストを決定することは、最初に決定すべきことではないだろう。

質問82
リスク軽減報告書には、以下のような提言が含まれる：

 を評価した。

 受け入れ

 を評価した。

 を定量化した。

説明／参照
説明する：
リスクの受容は、リスク軽減プロセスにおいて考慮されるべき代替案である。評価。
評価とリスクの定量化は、リスク緩和策を決定する前に完了するリスク分析プロセスの構成要素である。

質問83
あるリスクが正式に受け入れられ、文書化された。情報セキュリティマネジャーにとって最も重要な行動はどれか。

 リスク許容度を更新する。

 上級管理職と取締役会に通知する。

 環境の変化を監視する

 組織のリスク選好度を再評価する。

質問84
情報分類スキームはこうあるべきだ：

 セキュリティ侵害の影響を考慮する。

 電子形式の個人情報を分類する。

 情報セキュリティ管理者が行う。

 処理するデータによってシステムを分類する。

説明
データの分類は、ビジネスリスク、すなわち、情報の損失、破損、開示がビジネスに与える潜在的な影響によって決定される。これは、電子的、物理的（紙）を問わず、あらゆる形態の情報に適用されなければならず、セキュリティ管理者ではなく、データ所有者が適用すべきである。選択肢Bはプライバシーの問題のみを取り上げているため不完全な回答であり、選択肢Aはより完全な回答である。データの分類は、ビジネスリスク、すなわち情報の損失、破損、開示がビジネスに与える潜在的な影響によって決定される。この分類は、電子的、物理的（紙）を問わず、あらゆる形態の情報に適用されなければならず、セキュリティ管理者ではなく、データ所有者が適用すべきである。

質問85
情報リスク分析を行う場合、情報セキュリティ管理者は、まず、次のことを行うべきである：

 資産の所有権を確立する。

 資産に対するリスクを評価する。

 資産の棚卸しを行う。

 資産を分類する。

説明
資産の棚卸しは、他の選択肢を実行する前に行わなければならない。

 ローディング …

CISMプレミアム試験エンジンpdfダウンロード： https://www.topexamcollection.com/CISM-vce-collection.html