監査作業を開始する前に最も重要なアクションは、管理目標を確立することです。管理目標とは、アプリケーション内の情報保護に関して監査が達成または検証することを意図する特定の目標または結果です1。管理目標は、監査手順の設計と実行、監査証拠の評価、監査結果と推奨事項の報告の基盤となります2。管理目標は、監査の範囲と基準をビジネス ニーズと期待に一致させ、監査の関連性、信頼性、効率性を確保するのにも役立ちます3。
情報保護監査の制御目標の例は次のとおりです。
* アプリケーションに保存された情報が、その機密性、価値、規制要件に応じて分類されていることを確認する
* アプリケーションに保存された情報が適切に暗号化、マスク、または匿名化されていることを確認するため
* アプリケーションに保存された情報に、許可されたユーザーとプロセスのみがアクセスできるようにするため
* アプリケーションに保存された情報が、ビジネス継続性および保持ポリシーに従ってバックアップ、復元、保持されるようにする
* アプリケーションに保存されている情報が監視、記録され、不正または異常なアクティビティがないか監査されるようにするため したがって、オプション B が正解です。
オプション A は不正解です。是正レポートの確認は、監査作業を開始する前に行う最も重要なアクションではないからです。是正レポートとは、以前の監査結果や問題が監査対象者によってどのように解決または対処されたかを説明する文書です4。是正レポートの確認は、アプリケーションの情報保護の現状を理解するのに役立つかもしれませんが、監査のコントロール目標を定義するための前提条件ではありません。
オプション C は不正解です。脅威の状況を評価することは、監査作業を開始する前に行う最も重要なアクションではないからです。脅威の状況とは、アプリケーションに保存されている情報に影響を及ぼす可能性のあるサイバー攻撃やデータ侵害の潜在的な発生源、方法、影響の集合です。脅威の状況を評価することは、アプリケーション内の情報保護のリスクと脆弱性を特定して優先順位を付けるのに役立つかもしれませんが、監査のコントロール目標を定義するための前提条件ではありません。
オプション D は不正解です。侵入テストを実行することは、監査作業を開始する前に最も重要なアクションではないからです。侵入テストは、実際のサイバー攻撃やデータ侵害をシミュレートして、情報システムやアプリケーションのセキュリティと回復力をテストする手法です。

説明/参照:
質問ではINCORRECTLYキーワードが使用されています。
TCP/IP モデルのアプリケーション層で実行されないサービスまたは機能を見つける必要があります。
メッセージの信頼性のある配信または信頼性のない配信は、TCP/IP モデルのトランスポート層の機能です。
試験では、TCP/IP モデルに関する以下の情報を知っておく必要があります。
ネットワークモデル

レイヤー4. アプリケーションレイヤー
アプリケーション層は、4 層の TCP/IP モデルの最上位層です。アプリケーション層は、トランスポート層の最上位にあります。アプリケーション層は、TCP/IP アプリケーション プロトコルと、ホスト プログラムがネットワークを使用するためにトランスポート層サービスとインターフェイスする方法を定義します。
アプリケーション層には、DNS (ドメイン ネーミング システム)、HTTP (ハイパーテキスト転送プロトコル)、Telnet、SSH、FTP (ファイル転送プロトコル)、TFTP (簡易ファイル転送プロトコル)、SNMP (簡易ネットワーク管理プロトコル)、SMTP (簡易メール転送プロトコル)、DHCP (動的ホスト構成プロトコル)、X Windows、RDP (リモート デスクトップ プロトコル) などのすべての上位レベルのプロトコルが含まれます。
レイヤー3. トランスポート層
トランスポート層は、4 層 TCP/IP モデルの 3 番目の層です。トランスポート層は、アプリケーション層とインターネット層の間に位置します。トランスポート層の目的は、送信元ホストと送信先ホストのデバイスが会話を継続できるようにすることです。トランスポート層は、データの転送時に使用するサービス レベルと接続の状態を定義します。
トランスポート層に含まれる主なプロトコルは、TCP (Transmission Control Protocol) と UDP (User Datagram Protocol) です。
レイヤー2. インターネット層
インターネット層は、4 層 TCP/IP モデルの 2 番目の層です。インターネット層は、ネットワーク アクセス層とトランスポート層の間に位置します。インターネット層は、データを IP データグラムと呼ばれるデータ パケットにまとめます。このデータ パケットには、ホスト間およびネットワーク間でデータグラムを転送するために使用される送信元および宛先アドレス (論理アドレスまたは IP アドレス) 情報が含まれます。インターネット層は、IP データグラムのルーティングも担当します。
パケット交換ネットワークは、コネクションレス型インターネットワーク層に依存します。この層はインターネット層として知られています。その役割は、ホストが任意のネットワークにパケットを挿入し、それを独立して宛先に配信できるようにすることです。宛先側では、データ パケットは送信された順序とは異なる順序で表示されることがあります。アプリケーション層で動作している適切なネットワーク アプリケーションにパケットを配信するためにパケットを並べ替えるのは、上位層の役割です。
インターネット層に含まれる主なプロトコルは、IP (インターネット プロトコル)、ICMP (インターネット制御メッセージ プロトコル)、ARP (アドレス解決プロトコル)、RARP (逆アドレス解決プロトコル)、IGMP (インターネット グループ管理プロトコル) です。
レイヤー1. ネットワークアクセスレイヤー
ネットワーク アクセス層は、4 層の TCP/IP モデルの最初の層です。ネットワーク アクセス層は、同軸ケーブル、光ファイバー、ツイストペア銅線などのネットワーク メディアと直接インターフェイスするハードウェア デバイスによってビットが電気的または光学的に信号化される方法など、データがネットワークを介して物理的に送信される方法の詳細を定義します。
ネットワーク アクセス層に含まれるプロトコルには、イーサネット、トークン リング、FDDI、X.25、フレーム リレーなどがあります。
上記の LAN アーキテクチャの中で最も一般的なのはイーサネットです。イーサネットが共有メディアで動作する場合、イーサネットは CSMA/CD (キャリア検知多重アクセス/衝突検出) と呼ばれるアクセス メソッドを使用してメディアにアクセスします。アクセス メソッドによって、ホストがメディアにデータを配置する方法が決まります。
CSMA/CD アクセス方式では、すべてのホストが媒体に平等にアクセスでき、ネットワーク トラフィックが回線上にないときにデータを回線上に配置できます。ホストがデータを回線上に配置しようとすると、回線をチェックして、別のホストがすでに媒体を使用しているかどうかを確認します。すでに媒体上にトラフィックがある場合、ホストは待機し、トラフィックがない場合はデータを媒体上に配置します。ただし、2 つのシステムが同時に媒体上にデータを配置すると、互いに衝突してデータが破壊されます。送信中にデータが破壊された場合、データを再送信する必要があります。衝突後、各ホストは短い時間待機し、再びデータが再送信されます。
プロトコルデータユニット (PDU):
プロトコル データ ユニット - PDU

次の回答は間違っています。
他のオプションは、TCP/IP モデルのアプリケーション層の機能を正しく記述します。
この質問を作成するために、以下の参考資料が使用されました:
CISA レビューマニュアル 2014 ページ番号 272

説明/参照:
Explanation:
デフォルト設定は公開されていることが多く、侵入者に予測可能な構成情報を提供するため、システムの侵入が容易になります。このリスクを軽減するには、機能が制限され、ファイアウォール ソフトウェアのサポートに必要なサービスのみを提供する強化されたオペレーティング システムを使用しているシステムにファイアウォール ソフトウェアをインストールする必要があります。選択肢 A、C、および D は、ファイアウォール構成の標準またはベスト プラクティスです。

これは、新しいシステムのメリット実現を測定するのに最も役立つ方法です。これは、システムを実装して一定期間使用した後、システムの実際の結果と影響を評価する必要があるためです。実装後のレビューでは、実際のメリットをビジネス ケースまたはメリット実現計画で定義された期待メリットと比較し、ギャップ、問題、改善の機会を特定できます。実装後のレビューでは、システムのユーザー、利害関係者、顧客の有効性、効率、満足度を評価し、将来の機能強化や変更に関するフィードバックや推奨事項を提供することもできます。
他のオプションは、新しいシステムのメリット実現を測定する場合、実装後のレビューほど役に立ちません。
* 機能ポイント分析。これは、ソフトウェア システムが提供する機能の数と種類に基づいて、ソフトウェア システムのサイズと複雑さを測定する手法です。機能ポイント分析は、ソフトウェア システムの開発、保守、または拡張に必要なコスト、労力、および時間を見積もるのに役立ちますが、システムが組織またはそのユーザーに提供する実際の利点や価値を測定するものではありません。
* バランスト スコアカード レビュー。これは、財務、顧客、内部プロセス、学習と成長という 4 つの観点に基づいて組織または事業部門のパフォーマンスを測定する戦略的管理ツールです。バランスト スコアカード レビューは、組織のビジョン、ミッション、目標をその活動や結果と一致させるのに役立ちますが、新しいシステムの具体的な利点や影響を測定するものではありません。
* ビジネス影響分析 (BIA)。これは、組織の重要なビジネス機能とプロセスに対する混乱や災害の潜在的な影響を特定し、評価するプロセスです。BIA は、緊急時に組織の回復の優先順位、目標、戦略を決定するのに役立ちますが、新しいシステムの利点や価値を測定するものではありません。

セクション: 情報システムの運用、保守、サポート