CMMC-CCA 試験問題 86
CMMCプラクティスSC.L2-3.13.6の評価目標[a]と[b]では、請負業者のシステムがそれぞれデフォルトでネットワーク通信トラフィックを拒否すること[a]と、例外的にネットワーク通信トラフィックを許可すること[b]を要求しています。CCAとして、OSCがネットワークを複数のゾーンにセグメント化しているかどうかを評価します。OSCは、ネットワークデバイスにアクセス制御リスト(ACL)を実装し、送信元と宛先のIPアドレスとポートに基づいてトラフィックを許可または拒否しています。さらに、OSCはFortinetの次世代ファイアウォール(NGFW)を使用しています。コンピューティング環境を監視するために、OSCは最先端のSIEMを使用しています。次の評価方法のうち、OSCが評価目標[a]と[b]を満たしているかどうかを評価するために使用しない方法はどれですか?
CMMC-CCA 試験問題 87
CMMC評価において、CCAであるあなたは、情報セキュリティの責任を負うOSCの主要従業員にアクセス制御手順についてインタビューを行っています。インタビューが進むにつれて、システムセキュリティプラン(SSP)で提供された当初の情報が従業員の説明と完全に一致していないことに気付きました。
シナリオと CCA としての役割に基づいて、評価チーム メンバーとしての責任に含まれないものは何ですか。
シナリオと CCA としての役割に基づいて、評価チーム メンバーとしての責任に含まれないものは何ですか。
CMMC-CCA 試験問題 88
CCAは、CMMCレベル2の評価を実施する評価チームの一員です。面接中、OSCの従業員が重要なセキュリティ対策が「費用が高すぎる」という理由で導入されていないことを認めました。CCAは、その対策を導入するための低コストの代替ソリューションを提案しました。CCAは代わりに何をすべきだったでしょうか?
CMMC-CCA 試験問題 89
初期評価の枠組み策定における議論において、OSC POCは、C3PAOと法的拘束力のある契約を締結する権限を有していると主張し、合意された評価条件と範囲に署名しようとします。OSC POCが合意された評価条件と範囲に署名する前に、C3PAOは次のうちどれを確認する必要がありますか?
CMMC-CCA 試験問題 90
評価チームは、OSCのCMMC評価の範囲を見直しています。OSCは評価対象として狭いセキュリティ境界を定義しており、評価チームは、その境界ではすべての機密情報を適切に保護できない可能性があると考えています。OSCは、財政的制約などの理由を挙げ、CUIは境界で定義されたエンクレーブ内にのみ存在すると主張しています。しかし、施設を視察し、従業員にインタビューした結果、CUIを処理する可能性のある資産の一部がエンクレーブ外にあることが判明しました。
OSC が CMMC 評価の範囲では狭すぎるセキュリティ境界を定義することのリスクは何ですか?
OSC が CMMC 評価の範囲では狭すぎるセキュリティ境界を定義することのリスクは何ですか?