現在のCISM試験ダンプツ[2023]はISACA試験をスムーズに完了する[Q183-Q206]。

10月 30, 202310月 30, 2023 試験問題現在のCISM試験ダンプツ[2023]はISACA試験をスムーズに完了する[Q183-Q206]。 0 コメント

タグ: CISMダウンロード料金, CISMダンプ問題集, CISM最新練習問題集, CISM new dumps ebook, CISM模擬試験, CISMテストガイド, CISMの有効なテストpass4sure

4/5 - (3 投票)

現在のCISM試験ダンプス[2023]ISACA試験をスムーズに完了する

417の質問と回答を含むCISMプレミアムPDFファイルとテストエンジンファイル

新しい質問 183
フレームリレーネットワークの接続が18～24時間失われた場合の影響は、次のように計算する：

通信事業者が請求する時間課金レート。

ネットワーク経由で送信されるデータの値。

影響を受けるすべてのビジネス・ユーザーの総報酬。

影響を受ける事業部門が被る財務上の損失。

説明／参照
説明する：
損失の影響を計算する上で最も重要なのは、その損失が組織にとってどの程度のコストになるかということである。他の選択肢はすべて、全体的な金銭的影響に寄与する要素である。

新しい質問 184
フォレンジック証拠のためにコンピュータ・システムを検査する過程で、被疑メディアのデータが不注意で改ざんされた。調査プロセスにおいて、最初にとるべき行動はどれか。

疑わしいメディアを新しいメディアにバックアップする。

元のメディアソースを新しいメディアにビット単位でイメージする。

調査に関連するすべてのファイルのコピーを取る。

すべての論理ドライブでエラーチェックプログラムを実行し、ディスクエラーがないことを確認します。

セクションインシデント管理と対応
説明する：
オリジナルのハードドライブや疑わしいメディアは、決して解析のソースとして使用すべきではありません。ソースまたはオリジナル・メディアは物理的に保護し、ビットごとのイメージを作成するためのマスターとしてのみ使用する。オリジナルは、場所に応じて適切な手順で保存されるべきである。フォレンジック分析用に作成されたイメージを使用すべきである。バックアップは、消去または削除されたファイルやスラック・スペースのデータなど、データの100％を保存するものではない。ソースからのデータが変更されると、もはや法廷では認められないかもしれません。調査を続行し、日時と変更されたデータを文書化することは、法的手続きでは認められない可能性がある行為である。組織は、管轄区域に関連するフォレンジック証拠の収集と保存の詳細を知る必要がある。

新しい質問 185
情報セキュリティアーキテクチャは、次のうちどれと整合させることが最も重要か。

業界のベストプラクティス

情報技術計画

情報セキュリティのベストプラクティス

事業目的と目標

情報セキュリティ・アーキテクチャは、常にビジネスの目標や目的と適切に整合させる必要がある。IT計画や業界やセキュリティのベストプラクティスとの整合は、それに比べれば二の次である。

新しい質問 186
組織が新たなプライバシー法制の影響を受ける可能性の程度を評価する上で、情報セキュリティ管理者はFIRSTを行うべきである：

法令遵守を達成するための業務計画を策定する。

プライバシーの構成要素を含むシステムとプロセスを特定する。

遵守されるまで、個人情報の収集を制限する。

同様の要求事項を含む可能性のある他国の個人情報保護法を特定する。

関連するシステムとプロセスを特定することが最良の第一歩である。法令遵守を達成するための運用計画を策定することは、最初のステップではないので誤りである。個人情報の収集を制限するのは後の話である。他国の個人情報保護法制を特定することは、大きな価値をもたらさない。

新しい質問 187
情報セキュリティ運営委員会の主な責務はどれか。

ファイアウォールルールの見直し

パスワードの有効期限を設定する

セキュリティ対策の優先順位付け

セキュリティ・ポリシーの立案

新しい質問 188
リスクオーナーの責任は次のうちどれですか？

リスク対応を指示するためのリスク評価の実施

組織のリスク選好度の決定

統制の有効性を確実に監視する

リスクを軽減するための管理策の実施

説明
リスク所有者とは、リスクが効果的に管理されるようにする責任を負う個人又は団体である。リスク所有者の主な責任の一つは、リスクを軽減又は管理するための管理策を実施することである。
リスクアセスメント、組織のリスク選好度の決定、コントロールの有効性のモニタリングはすべてリスク管理の重要な側面であるが、リスクを管理するために必要な行動をとるのはリスクオーナーの責任である。

新しい質問 189
セキュリティ・ソリューションの最も完全なビジネスケースとは、以下のようなものである。

には適切な正当性が含まれている。

は現在のリスクプロファイルを説明している。

は規制要件を詳述している。

事故や損失を特定する。

説明
経営陣は、最も費用対効果の高い方法でリスクに対処できるセキュリティ・ソリューションに主に関心を持っている。
組織のニーズに対応するために、ビジネス・ケースは、組織戦略に沿った適切なセキュリティ・ソリューションに取り組むべきである。

新しい質問 190
新しい情報セキュリティ・プログラムが目標を達成しているかどうかを、組織はどのようにして知ることができるのだろうか。

主な指標は、事故による影響の減少を示している。

上層部はこのプログラムを承認し、支持している。

従業員は実施された変化を受け入れている。

報告された事故は直ちに減少する。

説明／参照
説明する：
効果的なセキュリティプログラムであれば、影響の減少傾向を示すので、選択肢 A は正しい。選択肢 B と C は、実行中のプログラムに由来する可能性はあるが、選択肢 A ほど重要ではない。

新しい質問 191
リスクマネジメント・プログラムは、以下のようなリスクを軽減するものでなければならない：

ゼロだ。

許容できるレベルである。

収益の許容できるパーセンテージ

許容できる発生確率である。

セクション情報リスク管理
説明する：
リスクは、組織のリスク選好度に基づいて、許容可能なレベルまで低減すべきである。リスクをゼロにすることは非現実的であり、コスト高になる可能性がある。リスクと収益のパーセンテージを結びつけることは、両者の間に直接的な相関関係がないため、望ましくない。リスクの発生確率を低減することは、自然災害のように常に可能であるとは限らない。リスクの発生確率を低減するのではなく、組織にとって許容可能なレベルまで影響を低減することに重点を置くべきである。

新しい質問192
リソースに制限のあるセキュリティプログラムにおいて、限られたリソースを最も有効に活用できるのは次のどのアプローチか。

クロストレーニング

リスク回避

リスクの優先順位付け

脅威管理

セクション情報セキュリティプログラム管理

新しい質問 193
情報セキュリティプログラムの評価指標を設定する場合、以下のような指標を特定することが最良のアプローチである：

セキュリティ・プログラムの有効性を実証する。

情報セキュリティプログラムの支出を削減する。

企業リスク文化を反映する。

主要な情報セキュリティ・イニシアティブをサポートする。

新しい質問 194
監視プロセスを一時的に停止することは、たとえ運用上のリスクを容認していたとしても、次のような場合、情報セキュリティマネジャーにとって容認できない可能性がある：

それはコンプライアンス上のリスクを意味する。

短期的な影響は判断できない。

業界のセキュリティ慣行に違反している。

役割マトリックスの変化は検出できない。

説明／参照
説明する：
モニタリング・プロセスは、組織の法令遵守を保証するためにも必要であり、したがって、情報セキュリティ管理者は法令を遵守する義務を負う。選択肢BとCは、オペレーショナルリスクの一部として評価される。選択肢Dは、規制法違反のような重大性は低い。オペレーショナルリスクの受容は、選択肢B、C、Dに優先する。

新しい質問 195
セキュリティ専門部署を持たない組織の管理スタッフが、IT マネージャを使用してセキュリティレビューを実施することを決定した。この配置における主な職務要件は、IT マネージャが以下のとおりである。

他部門のリスクを報告する。

他部門からの支援を得る。

重大なセキュリティリスクを報告する。

セキュリティ基準に関する知識がある

説明
IT マネージャーは、IT 導入におけるリスクも含め、セキュリティレビューに従って環境内のセキュリティリスクを報告する必要がある。選択肢A、B、Dは重要であるが、主な責任や職務要件ではない。

新しい質問 196
情報セキュリティに重点を置く社内文化を作るための最初のステップは、次のとおりである：

より強力なコントロールを導入する。

定期的な意識向上トレーニングを実施する。

積極的に業務を監視する。

経営幹部の賛同を得る。

説明／参照
説明する：
方針という形で経営幹部が承認することで、方向性と認識が得られる。より強力な管理策を実施することは、迂回につながる可能性がある。意識向上トレーニングは重要であるが、方針に基づいていなければならない。業務を積極的に監視しても、あらゆるレベルの文化に影響を与えることはない。

新しい質問 197
主要な IT プロジェクトのライフサイクルにセキュリティリスク評価を組み込むことを確実にするために、最も適切なものはどれか。

リスク評価を内部監査プログラムに組み込む

グローバル・セキュリティ基準をITプロジェクトに適用する

リスク評価に関するプロジェクト・マネージャーのトレーニング

プロジェクト設定委員会に情報セキュリティマネジャーを参加させる

新しい質問 198
重要なセキュリティシステムの残存リスクを受け入れるかどうかを判断する上で、最も助けになるのはどれか。

緩和策の費用対効果分析

回復時間目標（RTO）

年間予算

最大許容停止時間（MTO）

新しい質問 199
社外の個人が企業データベース上の機密情報を変更できないようにするための、最も効果的なソリューションはどれか。

選別されたサブネット

情報分類の方針と手順

役割ベースのアクセス制御

侵入検知システム（IDS）

説明
スクリーニングされたサブネットは非武装地帯（DMZ）であり、外部ユーザーによる内部ネットワークへの攻撃を防ぐことを目的としている。情報を分類するためのポリシーと手順は、最終的にはより良い保護につながるが、実際の改ざんを防ぐことはできない。役割ベースのアクセス・コントロールは、ユーザーが各自の職務に適したファイルやシステムにのみアクセスできるようにするのに役立つ。侵入検知システム（IDS）は、不正な試みを検知するのに役立つが、試みを防ぐことはできない。

新しい質問 200
情報セキュリティプログラムへの投資を支援するビジネスケースを作成する際に、最も重要な検討事項はどれか。

経営陣のサポート

費用便益分析の結果

リスク評価の結果

リスクプロファイルへの影響

説明／参照
説明
情報セキュリティマネジャーは、組織のビジネスリスクプロファイルを理解しなければならない。どのようなモデルも完全な全体像を提供するものではないが、組織のリスク領域を論理的に分類することで、主要なリスク管理戦略及び意思決定に集中することが容易になる。また、ビジネスと関連性があり、費用対効果の高いリスク処理アプローチを開発し、実施することも可能になる。

新しい質問 201
上級管理職が情報セキュリティガバナンスをコーポレートガバナンスに統合するための最も効果的な方法はどれか。

企業戦略に基づいて情報セキュリティ戦略を策定する。

事業部長を情報セキュリティ担当として任命する。

組織全体の情報セキュリティ意識向上キャンペーンを推進する

組織全体から代表者を集めた運営委員会を設置する。

新しい質問 202
IT機器が組織のセキュリティ基準を満たしていることを確認するために、最も効率的なアプローチは次のとおりです：

機器配備時のセキュリティを評価する。

ユーザー受入テスト中にコンプライアンスを確認する。

すべての新しい機器のリスクを評価する。

承認された機材リストを作成する。

セクション情報セキュリティプログラム管理

新しい質問 203
ファイアウォールのルールをレビューする情報セキュリティ・マネージャーは、ファイアウォールが許可しているかどうかを最も気にする：

ソースルーティング。

ブロードキャスト伝搬。

未登録ポート。

非標準プロトコル。

セクション情報セキュリティプログラム管理
説明
説明する：
ファイアウォールがソース・ルーティングを許可している場合、部外者は誰でも組織の内部（プライベート）IPアドレスを盗んでスプーフィング攻撃を行うことができる。ブロードキャスト伝播、未登録ポート、非標準プロトコルは、セキュリティ上の重大な問題を引き起こすことはありません。

新しい質問 204
情報セキュリティ戦略の実施を成功させるために最も重要なものはどれか。

情報セキュリティ・ポリシーの策定

情報セキュリティ・プログラムに多額の資金を提供

規制の遵守

経営幹部による継続的なコミットメント

新しい質問 205
脆弱性スキャンによって、ある重要なビジネスアプリケーションに重大なリスクが検出された。情報セキュリティマネジャーが最初にすべきことはどれか。

ビジネスリスクを上級管理職に報告する。

事業主にリスクを確認する。

緊急変更リクエストの作成

リスク登録簿を更新する。

新しい質問 206
情報セキュリティにおいて、最も優先度の低い要件はどれか。

テクニカル

規制

プライバシー

ビジネス

説明
情報セキュリティの優先順位は、時には技術仕様を上書きすることがあり、その場合、最低限のセキュリティ標準に適合するように書き直さなければならない。規制要件とプライバシー要件は、政府によって義務付けられているものであるため、覆すことはできない。情報セキュリティの優先順位の決定においては、常に事業のニーズが優先されるべきである。

ローディング …

CISM 認定資格は、情報セキュリティ管理分野の専門家にとって重要な資格です。認定情報セキュリティ管理者資格は、組織の情報セキュリティプログラムの設計、実装、および管理に関する個人の専門知識を証明するものです。CISM 試験は、情報セキュリティ管理の原則、ベストプラクティス、およびフレームワークに対する深い理解が受験者に求められる難易度の高い試験です。CISM 試験に合格することで、キャリアの機会を拡大し、情報セキュリティ管理分野へのコミットメントを示すことができます。

CISM Premium Files Practice Valid Exam Dumps Question： https://www.dumpsmaterials.com/CISM-real-torrent.html