CISA 試験問題 596
情報セキュリティ ポリシーの開発を監督するのに最も適しているのはどれでしょうか?
正解: C
セクション: ITのガバナンスと管理
説明/参照:
セキュリティ担当者は、このようなポリシーの開発を監督するのに最適な人物です。
セキュリティ担当者とそのチームは通常、セキュリティを構築する責任を負っている。
ポリシーは適切に作成され、伝達されなければならない。
エンドユーザーが理解できるポリシー。不十分に書かれたポリシーや、教育レベルが高すぎるポリシーは
(一般的な業界では、一般ユーザー向けのコンテンツを6年生から8年生の読解レベルに焦点を合わせるのが良いとされています。
レベル)では理解されません。
セキュリティポリシーとそれをサポートするアイテムを実装することは、企業とその従業員が十分な注意を払っていることの表れです。
管理スタッフ。従業員に期待されていることと、その結果について知らせる。
違反は責任問題につながる可能性があります。
セキュリティ担当者はセキュリティポリシーの策定に責任を持つが、その努力は
ビジネス上の問題に確実に対処するために協力します。
セキュリティ担当者は、ポリシー策定に他の分野を含めることで、より良い企業サポートを受けることができる。
これらの部門が最終製品に対するより大きな所有権を獲得することで、これらの部門の賛同を得るのに役立ちます。
人事、法務、コンプライアンス、さまざまなIT分野、特定のビジネス分野の代表者などの分野を含む
重要な事業部門を代表する人々。
ポリシーがIT部門内でのみ開発され、ビジネス部門の意見なしに配布されると、
重要なビジネス上の考慮事項を見逃す可能性が高くなります。ポリシー文書が作成されると、
コンプライアンスを確保するための基礎が確立されている。組織によっては、追加の文書
政策をサポートするために必要となる場合があります。このサポートは、以下で説明する追加の制御の形で提供される場合があります。
従業員のコンプライアンスを支援するための標準、ベースライン、または手順。
ドキュメントの目的は、ドキュメントの最新バージョンを、
多くの組織では、文書をイントラネットや共有ファイルフォルダに置いています。
アクセスしやすくするため、これらの文書に加えて、チェックリスト、フォーム、サンプルを配置する。
ドキュメントは、認知度を高めるのに役立ちます。
試験を受けるには、以下の情報を知っておく必要があります。
エンドユーザー - エンドユーザーは、以下の方法で情報資産を日常的に保護する責任があります。
伝達されたセキュリティ ポリシーの遵守。
経営幹部/上級管理職 -経営幹部は全体的な責任を負います
情報資産の保護のため。事業運営は情報に依存しており、
利用可能で、正確であり、知る必要のない個人から保護されます。
セキュリティ担当者 - セキュリティ担当者は、情報セキュリティを指揮、調整、計画、組織します。
組織全体の活動。セキュリティ担当者は、次のようなさまざまな個人と連携して活動します。
経営幹部、事業部門の管理者、技術スタッフ、ビジネスパートナー、監査人、
セキュリティ担当者とそのチームは設計、
組織のセキュリティポリシー、標準、手順の実装、管理、レビュー、
ベースラインとガイドライン。
情報システムセキュリティ専門家 - セキュリティポリシー、標準、サポートの草案作成
ガイドライン、手順、ベースラインはこれらの個人を通じて調整されます。ガイダンスは
技術的なセキュリティ問題や新たな脅威を考慮し、新しいポリシーを採用します。活動
政府規制や業界動向の解釈、ベンダーソリューションの分析など
組織のセキュリティを強化するセキュリティ アーキテクチャに含まれるものは、この役割で実行されます。
データ/情報/ビジネス/システムの所有者 - ビジネスエグゼクティブまたはマネージャーは通常、
情報資産。情報に適切な分類を割り当てる個人です。
資産。ビジネス情報が適切な管理によって保護されていることを確認します。定期的に、
情報資産の所有者は、情報に関連する分類とアクセス権を見直す必要がある。
資産。所有者またはその代理人は、情報へのアクセスを承認する必要がある場合があります。所有者はまた、
情報の重要度、機密性、保持、バックアップ、保護手段を決定する必要があります。所有者
またはその代理人は、情報に関して存在するリスクを理解する責任がある。
彼らはコントロールします。
データ/情報管理者/スチュワード - データ管理者とは、データ/情報を管理する個人または機能です。
所有者に代わって情報を提供する。これらの個人は、情報が最後まで利用可能であることを保証する。
データはユーザーによって保護され、データの損失や破損が発生した場合に回復できるようにバックアップされます。情報は
ファイル、データベース、またはシステムに保存され、その技術インフラストラクチャはシステムによって管理される必要がある
管理者。このグループは情報資産へのアクセス権を管理します。
情報システム監査人 - IT監査人は、ユーザー、所有者、管理者、システム、および
ネットワークはセキュリティポリシー、手順、標準、ベースライン、設計に準拠している。
アーキテクチャ、管理の方向性、およびシステムに課せられたその他の要件。監査人は
セキュリティ管理の適切性について経営陣に独立した保証を与える。監査人は
情報システムを検査し、それが設計、構成、実装されているかどうかを判断します。
組織の目標が達成されるように運営、管理される。
監査人は、企業のトップマネジメントに、コントロールとその
効果。
ビジネス継続プランナー - ビジネス継続プランナーは、あらゆる事態に備えるための緊急時対応計画を作成します。
会社の目標に悪影響を与える可能性のある出来事。脅威には以下が含まれる。
地震、竜巻、ハリケーン、停電、経済・政治情勢の変化、テロ
重大な損害を引き起こす可能性のある活動、火災、その他の重大な行為。事業継続計画担当者は、
災害時でもビジネスプロセスが継続できるようにし、それらの活動を調整します。
災害復旧を担当する事業分野および情報技術担当者。
情報システム/技術専門家 - セキュリティの設計を担当する人員
情報システムへの制御の組み込み、制御のテスト、およびシステムの本番環境への実装
合意された運用ポリシーと手順を通じて環境を構築します。情報システム
専門家は、ビジネスオーナーやセキュリティ専門家と協力して、設計された
ソリューションは、許容可能な重要度、機密性、可用性に応じたセキュリティ制御を提供します。
アプリケーションの要件。
セキュリティ管理者 - セキュリティ管理者は、ユーザーのアクセス要求プロセスを管理し、
アプリケーションによってアクセスを許可された個人に特権が付与される。
システム/データ所有者。この個人は高い権限を持ち、アカウントやアクセスを作成、削除します。
権限。セキュリティ管理者は、個人が退職した場合にもアクセス権限を解除する。
または会社部門間の転送。セキュリティ管理者はアクセス要求の記録を保持します
アクセス制御監査のテスト中に、監査人のためにアクセス権の承認とレポートを作成します。
ポリシーに準拠していることを証明します。
ネットワーク/システム管理者 - システム管理者(sysadmin
/netadmin)はネットワークとサーバーのハードウェアを構成し、
オペレーティングシステムが情報へのアクセスと利用を確実に行えるようにする必要があります。管理者は
パッチ管理やソフトウェアなどのツールやユーティリティを使用してコンピューティングインフラストラクチャを維持します。
組織のコンピュータにアップデートをインストールし、パッチをテストするための配布メカニズム。管理者は
サーバーとネットワークの継続的な信頼性を確保するために、システムのアップグレードをテストして実装します。
管理者は市販の脆弱性管理ツールまたは
コンピューティング環境をテストし、脆弱性を軽減するための(COTS)および/または非COTSソリューション
適切に。
物理的セキュリティ - 物理的セキュリティの役割を担う個人は、
地方警察機関、州警察、連邦捜査局などの外部の法執行機関
捜査を支援するためにFBIの捜査官が派遣される。物理的なセキュリティ担当者が施設を管理し、
閉回路テレビ(CCTV)監視システムの保守および継続的な運用、盗難防止
警報システム、カードリーダーアクセス制御システム。必要に応じて警備員を配置し、
不正アクセスを抑止し、会社の従業員の安全を確保します。物理的なセキュリティ
システムセキュリティ、人事、施設、法務、ビジネスの各分野と連携して
実践が統合されていることを確認します。
セキュリティアナリスト - セキュリティアナリストの役割は、以前の役割よりも高い、より戦略的なレベルで機能します。
役割を説明し、ポリシー、標準、ガイドラインの開発や、さまざまなベースラインの設定に役立ちます。
これまでの役職は「細部にまで」こだわり、セキュリティプログラムの一部に焦点を当てていましたが、
セキュリティアナリストは、セキュリティプログラムの要素の定義を支援し、要素が確実に実行されるようフォローします。
適切に実行され実践されている。この人は、設計レベルよりも
実装レベル。
管理アシスタント/秘書 - この役割は情報セキュリティにとって非常に重要であり、多くの場合
小規模な企業では、訪問者を出迎えたり、荷物の出し入れに署名したり、
オフィスへの入室を希望する個人を認識し、役員の電話スクリーニング担当者として機能します。
これらの個人はソーシャルエンジニアリング攻撃の対象となる可能性があり、潜在的な侵入者は
ソーシャルエンジニアは、その後の攻撃に使用できる機密情報を求めます。
適切な訓練を受けたアシスタントは、情報を漏らすリスクを最小限に抑えます。
有用な企業情報を提供したり、不正なエントリを提供したりすること。
ヘルプデスク管理者 - 名前の通り、ヘルプデスクはユーザーからの質問に答えるために存在します。
システムの問題を報告してください。問題には、応答時間の遅さ、潜在的なウイルス感染、不正なアクセスなどが含まれます。
アクセスできない、システムリソースにアクセスできない、プログラムの使用に関する質問など、ヘルプデスクではさまざまなサービスを提供しています。
多くの場合、セキュリティの問題やインシデントの最初の兆候が見られる場所です。ヘルプデスクの担当者は
状況が策定された基準を満たす場合は、コンピュータセキュリティインシデント対応チーム(CIRT)に連絡してください。
ヘルプデスクはパスワードをリセットし、トークンとスマートカードを再同期/再初期化し、
アクセス制御に関するその他の問題を解決します。
スーパーバイザー - スーパーバイザーの役割は、ユーザーマネージャーとも呼ばれ、すべてのユーザーアクティビティと
これらのユーザーが作成し所有する資産。例えば、キャシーが10人の上司だとします。
彼女の責任には、従業員が自分の
セキュリティに関する責任、従業員のアカウント情報が最新であることを確認すること、および
従業員が解雇、停職、異動になった場合は、セキュリティ管理者に通知する。
会社内での従業員の役割に関係するものは、通常、従業員がどのようなアクセス権を持つべきかに影響し、
ユーザーマネージャはセキュリティ管理者にこれらの変更を通知する必要があります。
すぐに。
変更管理アナリスト唯一不変なものは変化なので、誰かが変更を確実に行う必要があります。
変更管理アナリストは、変更の承認または拒否の責任を負います。
ネットワーク、システム、ソフトウェアの変更。この役割は、変更が
脆弱性がないか、適切にテストされているか、適切に展開されているかを確認します。
制御アナリストは、さまざまな変更がセキュリティ、相互運用性、パフォーマンスにどのように影響するかを理解する必要があります。
生産性が向上します。あるいは、企業は変更をただ展開して何が起こるかを見るという選択肢もあります。
次の回答は間違っています。
システム管理者 - システム管理者(sysadmin/netadmin)はネットワークとサーバーを構成します
ハードウェアとオペレーティングシステムを統合して、情報が利用可能かつアクセス可能であることを保証します。
管理者は、パッチ管理などのツールやユーティリティを使用してコンピューティングインフラストラクチャを維持します。
組織のコンピュータにアップデートをインストールし、パッチをテストするためのソフトウェア配布メカニズム。
管理者は、サーバーの継続的な信頼性を確保するためにシステムのアップグレードをテストし、実装します。
ネットワークデバイス。管理者は、商用または商用の脆弱性管理ツールを通じて脆弱性管理を提供します。
コンピューティング環境をテストし、脆弱性を軽減するための市販の(COTS)および/または非COTSソリューション
適切に。
エンドユーザー - エンドユーザーは、以下の方法で情報資産を日常的に保護する責任があります。
伝達されたセキュリティ ポリシーの遵守。
セキュリティ管理者 - セキュリティ管理者は、ユーザーのアクセス要求プロセスを管理し、
アプリケーションによってアクセスを許可された個人に特権が付与される。
システム/データ所有者。この個人は高い権限を持ち、アカウントやアクセスを作成、削除します。
権限。セキュリティ管理者は、個人が退職した場合にもアクセス権限を解除する。
または会社部門間の転送。セキュリティ管理者はアクセス要求の記録を保持します
アクセス制御監査のテスト中に、監査人のためにアクセス権の承認とレポートを作成します。
ポリシーに準拠していることを証明します。
この質問を作成するために、次の参考資料が使用されました:
CISA レビューマニュアル 2014 ページ番号 109
ハリス シュン (2012-10-18)。CISSP オールインワン試験ガイド、第 6 版 (p. 108)。McGraw-Hill。Kindle
版。
説明/参照:
セキュリティ担当者は、このようなポリシーの開発を監督するのに最適な人物です。
セキュリティ担当者とそのチームは通常、セキュリティを構築する責任を負っている。
ポリシーは適切に作成され、伝達されなければならない。
エンドユーザーが理解できるポリシー。不十分に書かれたポリシーや、教育レベルが高すぎるポリシーは
(一般的な業界では、一般ユーザー向けのコンテンツを6年生から8年生の読解レベルに焦点を合わせるのが良いとされています。
レベル)では理解されません。
セキュリティポリシーとそれをサポートするアイテムを実装することは、企業とその従業員が十分な注意を払っていることの表れです。
管理スタッフ。従業員に期待されていることと、その結果について知らせる。
違反は責任問題につながる可能性があります。
セキュリティ担当者はセキュリティポリシーの策定に責任を持つが、その努力は
ビジネス上の問題に確実に対処するために協力します。
セキュリティ担当者は、ポリシー策定に他の分野を含めることで、より良い企業サポートを受けることができる。
これらの部門が最終製品に対するより大きな所有権を獲得することで、これらの部門の賛同を得るのに役立ちます。
人事、法務、コンプライアンス、さまざまなIT分野、特定のビジネス分野の代表者などの分野を含む
重要な事業部門を代表する人々。
ポリシーがIT部門内でのみ開発され、ビジネス部門の意見なしに配布されると、
重要なビジネス上の考慮事項を見逃す可能性が高くなります。ポリシー文書が作成されると、
コンプライアンスを確保するための基礎が確立されている。組織によっては、追加の文書
政策をサポートするために必要となる場合があります。このサポートは、以下で説明する追加の制御の形で提供される場合があります。
従業員のコンプライアンスを支援するための標準、ベースライン、または手順。
ドキュメントの目的は、ドキュメントの最新バージョンを、
多くの組織では、文書をイントラネットや共有ファイルフォルダに置いています。
アクセスしやすくするため、これらの文書に加えて、チェックリスト、フォーム、サンプルを配置する。
ドキュメントは、認知度を高めるのに役立ちます。
試験を受けるには、以下の情報を知っておく必要があります。
エンドユーザー - エンドユーザーは、以下の方法で情報資産を日常的に保護する責任があります。
伝達されたセキュリティ ポリシーの遵守。
経営幹部/上級管理職 -経営幹部は全体的な責任を負います
情報資産の保護のため。事業運営は情報に依存しており、
利用可能で、正確であり、知る必要のない個人から保護されます。
セキュリティ担当者 - セキュリティ担当者は、情報セキュリティを指揮、調整、計画、組織します。
組織全体の活動。セキュリティ担当者は、次のようなさまざまな個人と連携して活動します。
経営幹部、事業部門の管理者、技術スタッフ、ビジネスパートナー、監査人、
セキュリティ担当者とそのチームは設計、
組織のセキュリティポリシー、標準、手順の実装、管理、レビュー、
ベースラインとガイドライン。
情報システムセキュリティ専門家 - セキュリティポリシー、標準、サポートの草案作成
ガイドライン、手順、ベースラインはこれらの個人を通じて調整されます。ガイダンスは
技術的なセキュリティ問題や新たな脅威を考慮し、新しいポリシーを採用します。活動
政府規制や業界動向の解釈、ベンダーソリューションの分析など
組織のセキュリティを強化するセキュリティ アーキテクチャに含まれるものは、この役割で実行されます。
データ/情報/ビジネス/システムの所有者 - ビジネスエグゼクティブまたはマネージャーは通常、
情報資産。情報に適切な分類を割り当てる個人です。
資産。ビジネス情報が適切な管理によって保護されていることを確認します。定期的に、
情報資産の所有者は、情報に関連する分類とアクセス権を見直す必要がある。
資産。所有者またはその代理人は、情報へのアクセスを承認する必要がある場合があります。所有者はまた、
情報の重要度、機密性、保持、バックアップ、保護手段を決定する必要があります。所有者
またはその代理人は、情報に関して存在するリスクを理解する責任がある。
彼らはコントロールします。
データ/情報管理者/スチュワード - データ管理者とは、データ/情報を管理する個人または機能です。
所有者に代わって情報を提供する。これらの個人は、情報が最後まで利用可能であることを保証する。
データはユーザーによって保護され、データの損失や破損が発生した場合に回復できるようにバックアップされます。情報は
ファイル、データベース、またはシステムに保存され、その技術インフラストラクチャはシステムによって管理される必要がある
管理者。このグループは情報資産へのアクセス権を管理します。
情報システム監査人 - IT監査人は、ユーザー、所有者、管理者、システム、および
ネットワークはセキュリティポリシー、手順、標準、ベースライン、設計に準拠している。
アーキテクチャ、管理の方向性、およびシステムに課せられたその他の要件。監査人は
セキュリティ管理の適切性について経営陣に独立した保証を与える。監査人は
情報システムを検査し、それが設計、構成、実装されているかどうかを判断します。
組織の目標が達成されるように運営、管理される。
監査人は、企業のトップマネジメントに、コントロールとその
効果。
ビジネス継続プランナー - ビジネス継続プランナーは、あらゆる事態に備えるための緊急時対応計画を作成します。
会社の目標に悪影響を与える可能性のある出来事。脅威には以下が含まれる。
地震、竜巻、ハリケーン、停電、経済・政治情勢の変化、テロ
重大な損害を引き起こす可能性のある活動、火災、その他の重大な行為。事業継続計画担当者は、
災害時でもビジネスプロセスが継続できるようにし、それらの活動を調整します。
災害復旧を担当する事業分野および情報技術担当者。
情報システム/技術専門家 - セキュリティの設計を担当する人員
情報システムへの制御の組み込み、制御のテスト、およびシステムの本番環境への実装
合意された運用ポリシーと手順を通じて環境を構築します。情報システム
専門家は、ビジネスオーナーやセキュリティ専門家と協力して、設計された
ソリューションは、許容可能な重要度、機密性、可用性に応じたセキュリティ制御を提供します。
アプリケーションの要件。
セキュリティ管理者 - セキュリティ管理者は、ユーザーのアクセス要求プロセスを管理し、
アプリケーションによってアクセスを許可された個人に特権が付与される。
システム/データ所有者。この個人は高い権限を持ち、アカウントやアクセスを作成、削除します。
権限。セキュリティ管理者は、個人が退職した場合にもアクセス権限を解除する。
または会社部門間の転送。セキュリティ管理者はアクセス要求の記録を保持します
アクセス制御監査のテスト中に、監査人のためにアクセス権の承認とレポートを作成します。
ポリシーに準拠していることを証明します。
ネットワーク/システム管理者 - システム管理者(sysadmin
/netadmin)はネットワークとサーバーのハードウェアを構成し、
オペレーティングシステムが情報へのアクセスと利用を確実に行えるようにする必要があります。管理者は
パッチ管理やソフトウェアなどのツールやユーティリティを使用してコンピューティングインフラストラクチャを維持します。
組織のコンピュータにアップデートをインストールし、パッチをテストするための配布メカニズム。管理者は
サーバーとネットワークの継続的な信頼性を確保するために、システムのアップグレードをテストして実装します。
管理者は市販の脆弱性管理ツールまたは
コンピューティング環境をテストし、脆弱性を軽減するための(COTS)および/または非COTSソリューション
適切に。
物理的セキュリティ - 物理的セキュリティの役割を担う個人は、
地方警察機関、州警察、連邦捜査局などの外部の法執行機関
捜査を支援するためにFBIの捜査官が派遣される。物理的なセキュリティ担当者が施設を管理し、
閉回路テレビ(CCTV)監視システムの保守および継続的な運用、盗難防止
警報システム、カードリーダーアクセス制御システム。必要に応じて警備員を配置し、
不正アクセスを抑止し、会社の従業員の安全を確保します。物理的なセキュリティ
システムセキュリティ、人事、施設、法務、ビジネスの各分野と連携して
実践が統合されていることを確認します。
セキュリティアナリスト - セキュリティアナリストの役割は、以前の役割よりも高い、より戦略的なレベルで機能します。
役割を説明し、ポリシー、標準、ガイドラインの開発や、さまざまなベースラインの設定に役立ちます。
これまでの役職は「細部にまで」こだわり、セキュリティプログラムの一部に焦点を当てていましたが、
セキュリティアナリストは、セキュリティプログラムの要素の定義を支援し、要素が確実に実行されるようフォローします。
適切に実行され実践されている。この人は、設計レベルよりも
実装レベル。
管理アシスタント/秘書 - この役割は情報セキュリティにとって非常に重要であり、多くの場合
小規模な企業では、訪問者を出迎えたり、荷物の出し入れに署名したり、
オフィスへの入室を希望する個人を認識し、役員の電話スクリーニング担当者として機能します。
これらの個人はソーシャルエンジニアリング攻撃の対象となる可能性があり、潜在的な侵入者は
ソーシャルエンジニアは、その後の攻撃に使用できる機密情報を求めます。
適切な訓練を受けたアシスタントは、情報を漏らすリスクを最小限に抑えます。
有用な企業情報を提供したり、不正なエントリを提供したりすること。
ヘルプデスク管理者 - 名前の通り、ヘルプデスクはユーザーからの質問に答えるために存在します。
システムの問題を報告してください。問題には、応答時間の遅さ、潜在的なウイルス感染、不正なアクセスなどが含まれます。
アクセスできない、システムリソースにアクセスできない、プログラムの使用に関する質問など、ヘルプデスクではさまざまなサービスを提供しています。
多くの場合、セキュリティの問題やインシデントの最初の兆候が見られる場所です。ヘルプデスクの担当者は
状況が策定された基準を満たす場合は、コンピュータセキュリティインシデント対応チーム(CIRT)に連絡してください。
ヘルプデスクはパスワードをリセットし、トークンとスマートカードを再同期/再初期化し、
アクセス制御に関するその他の問題を解決します。
スーパーバイザー - スーパーバイザーの役割は、ユーザーマネージャーとも呼ばれ、すべてのユーザーアクティビティと
これらのユーザーが作成し所有する資産。例えば、キャシーが10人の上司だとします。
彼女の責任には、従業員が自分の
セキュリティに関する責任、従業員のアカウント情報が最新であることを確認すること、および
従業員が解雇、停職、異動になった場合は、セキュリティ管理者に通知する。
会社内での従業員の役割に関係するものは、通常、従業員がどのようなアクセス権を持つべきかに影響し、
ユーザーマネージャはセキュリティ管理者にこれらの変更を通知する必要があります。
すぐに。
変更管理アナリスト唯一不変なものは変化なので、誰かが変更を確実に行う必要があります。
変更管理アナリストは、変更の承認または拒否の責任を負います。
ネットワーク、システム、ソフトウェアの変更。この役割は、変更が
脆弱性がないか、適切にテストされているか、適切に展開されているかを確認します。
制御アナリストは、さまざまな変更がセキュリティ、相互運用性、パフォーマンスにどのように影響するかを理解する必要があります。
生産性が向上します。あるいは、企業は変更をただ展開して何が起こるかを見るという選択肢もあります。
次の回答は間違っています。
システム管理者 - システム管理者(sysadmin/netadmin)はネットワークとサーバーを構成します
ハードウェアとオペレーティングシステムを統合して、情報が利用可能かつアクセス可能であることを保証します。
管理者は、パッチ管理などのツールやユーティリティを使用してコンピューティングインフラストラクチャを維持します。
組織のコンピュータにアップデートをインストールし、パッチをテストするためのソフトウェア配布メカニズム。
管理者は、サーバーの継続的な信頼性を確保するためにシステムのアップグレードをテストし、実装します。
ネットワークデバイス。管理者は、商用または商用の脆弱性管理ツールを通じて脆弱性管理を提供します。
コンピューティング環境をテストし、脆弱性を軽減するための市販の(COTS)および/または非COTSソリューション
適切に。
エンドユーザー - エンドユーザーは、以下の方法で情報資産を日常的に保護する責任があります。
伝達されたセキュリティ ポリシーの遵守。
セキュリティ管理者 - セキュリティ管理者は、ユーザーのアクセス要求プロセスを管理し、
アプリケーションによってアクセスを許可された個人に特権が付与される。
システム/データ所有者。この個人は高い権限を持ち、アカウントやアクセスを作成、削除します。
権限。セキュリティ管理者は、個人が退職した場合にもアクセス権限を解除する。
または会社部門間の転送。セキュリティ管理者はアクセス要求の記録を保持します
アクセス制御監査のテスト中に、監査人のためにアクセス権の承認とレポートを作成します。
ポリシーに準拠していることを証明します。
この質問を作成するために、次の参考資料が使用されました:
CISA レビューマニュアル 2014 ページ番号 109
ハリス シュン (2012-10-18)。CISSP オールインワン試験ガイド、第 6 版 (p. 108)。McGraw-Hill。Kindle
版。
CISA 試験問題 597
監査を計画する上で最も重要なステップは次のどれですか?
正解: C
説明/参照:
Explanation:
監査を計画する上で最も重要なステップは、リスクの高い領域を特定することです。
Explanation:
監査を計画する上で最も重要なステップは、リスクの高い領域を特定することです。
CISA 試験問題 598
データベースの整合性が維持されるようにするための最良の予防管理は次のどれですか?
正解: C
CISA 試験問題 599
組織の事業継続計画 (BCP) を最適化するために、情報システム監査人は、次の事項を判断するためにビジネス影響分析 (BlA) を実施することを推奨する必要があります。
正解: C
説明/参照:
Explanation:
災害後の組織の存続を確実にするためには、最も重要なビジネス プロセスを最初に復旧することが重要ですが、緊急性よりも価値 (A) を過度に重視するのはよくある間違いです。たとえば、住宅ローンの入金処理は財務上の観点からは重要ですが、災害が発生すると数日遅れる可能性があります。一方、ローンの締め切りまでに資金を送金することは、直接的な収益を生まないものの、規制上の問題、顧客からの苦情、評判の問題が発生する可能性があるため、はるかに重要です。選択肢 B と D は正しくありません。長期的なビジネス戦略も、復旧したシステムの数も、現時点では直接的な影響を及ぼさないためです。
Explanation:
災害後の組織の存続を確実にするためには、最も重要なビジネス プロセスを最初に復旧することが重要ですが、緊急性よりも価値 (A) を過度に重視するのはよくある間違いです。たとえば、住宅ローンの入金処理は財務上の観点からは重要ですが、災害が発生すると数日遅れる可能性があります。一方、ローンの締め切りまでに資金を送金することは、直接的な収益を生まないものの、規制上の問題、顧客からの苦情、評判の問題が発生する可能性があるため、はるかに重要です。選択肢 B と D は正しくありません。長期的なビジネス戦略も、復旧したシステムの数も、現時点では直接的な影響を及ぼさないためです。
CISA 試験問題 600
内部統制が信頼できると結論付ける前に、情報システム監査人は次のことを行う必要があります。
正解: D
CISA プレミアム問題集
365日無料更新
専門家プレゼンツ
1435 問題と解答
Windows / Mac / Android / iOS などをサポート
最新 ISACA CISA 試験問題集は GoShiken.com のサポートで CISA 試験を合格させます!
(40%OFF 特別割引: JPNPDF)
- 他のバージョン
- 3347ISACA.CISA.v2025-02-07.q999
- 517ISACA.CISA.v2024-06-15.q120
- 1486ISACA.CISA.v2023-11-23.q401
- 1208ISACA.CISA.v2022-12-04.q122
- 最新アップロード
- 105PaloAltoNetworks.PSE-PrismaCloud.v2025-09-11.q65
- 103SAP.C-TS452-2410.v2025-09-11.q32
- 110ASHRAE.HFDP.v2025-09-11.q40
- 197Salesforce.Sales-Cloud-Consultant.v2025-09-09.q128
- 128SAP.C-C4H56I-34.v2025-09-08.q74
- 204Salesforce.Agentforce-Specialist.v2025-09-08.q82
- 135Salesforce.Public-Sector-Solutions.v2025-09-08.q93
- 144Fortinet.FCP_FAZ_AD-7.4.v2025-09-08.q75
- 137SAP.C-S4TM-2023.v2025-09-08.q86
- 151SAP.C-TS412-2021.v2025-09-06.q90