CISA 試験問題 96
Which of the following dynamic interaction of a Business Model for Information Security (BMIS) is a place to introduce possible solutions such as feedback loops; alignment with process improvement; and consideration of emergent issues in system design life cycle, change control, and risk management?
正解: D
Section: Governance and Management of IT
Explanation:
Emergence - which connotes surfacing, developing, growing and evolving - refers to patterns that arise in the life of the enterprise that appear to have no obvious cause and whose outcomes seem impossible to predict and control. The emergence dynamic interconnection (between people and processes) is a place to introduce possible solutions such as feedback loops; alignment with process improvement; and consideration of emergent issues in system design life cycle, change control, and risk management.
For your exam you should know the information below.
Business Model for Information Security
情報セキュリティのビジネスモデル(BMIS)は、米国南カリフォルニア大学マーシャル・ビジネススクールの重要情報インフラ保護研究所で生まれました。ISACAは、システムセキュリティ管理モデルの開発に取り組んでいます。BMISは、同研究所が開発した基礎概念に基づき、情報セキュリティ管理にビジネス指向のアプローチを採用しています。このモデルは、システム思考を活用して企業内の複雑な関係性を明確にし、セキュリティをより効果的に管理します。モデルの基盤となる要素と動的な相互接続は、情報セキュリティプログラムの境界を定め、プログラムがどのように機能し、内部および外部の変化にどのように反応するかをモデル化します。BMISは、Cubitなどのフレームワークのコンテキストを提供します。
システム理論の本質は、システムを正確に理解するためには、単に構成要素の総和としてではなく、全体として捉える必要があるという点にあります。全体論的なアプローチでは、システムを完全な機能単位として考察します。システム理論のもう一つの原則は、システムの一部を理解することで、他の部分を理解することができるという点です。「システム思考」は、システムがどのように相互作用し、複雑なシステムがどのように機能し、「全体は部分の総和以上である」理由を考察することを指す、広く認知された用語です。システム理論は、多くの場合目に見えない予期せぬ方法で相互作用する、事象、関係、反応、結果、技術、プロセス、および人々の複雑なネットワークとして最も正確に説明できます。相互作用の挙動と結果を研究することで、管理者は組織システムとその機能の仕方をよりよく理解することができます。企業内のあらゆる分野の管理は、システム思考の観点からアプローチすることで強化できますが、その導入はリスク管理に確実に役立ちます。
システムアプローチが他の分野で収めてきた成功は、セキュリティ分野においても同様の効果が期待できることを示しています。近年、企業がセキュリティ問題に適切に対処できずに深刻な失敗を繰り返すのは、セキュリティを定義し、すべてのステークホルダーにとって理解しやすく関連性の高い形で提示できていないことが大きな原因です。情報セキュリティ管理にシステムアプローチを採用することで、情報セキュリティ管理者は複雑で動的な環境に対応できるようになり、企業内の連携、業務変更への適応、戦略的不確実性への対応、外部要因の影響への耐性といった面で有益な効果が得られます。そのモデルを以下に示します。

上記に示したように、このモデルは、6つの動的な相互接続によって連結された4つの要素から構成される、柔軟な3次元のピラミッド型構造として捉えるのが最適です。
モデルのすべての要素は相互に作用し合います。モデルのいずれかの部分が変更されたり、対処されなかったり、不適切に管理されたりすると、モデルの均衡が損なわれる可能性があります。動的な相互接続は張力として働き、企業の変化に応じて押し引きの力を発揮し、モデルが必要に応じて適応できるようにします。
このモデルを構成する4つの要素は以下のとおりです。
1. 組織設計と戦略 - 組織とは、明確に定義された役割の中で互いに相互作用し、共通の目標に向かって活動する人、資産、プロセスのネットワークである。
企業の戦略は、事業目標、達成すべき目的、追求すべき価値観や使命を明確に定めたものです。それは企業の成功の方程式であり、基本的な方向性を示します。戦略は外部要因と内部要因に適応する必要があります。戦略を策定する上で最も重要な要素はリソースであり、リソースには様々な種類(人材、設備、ノウハウなど)があります。設計とは、組織が戦略をどのように実行するかを定義するものです。プロセス、文化、そしてアーキテクチャは、設計を決定する上で重要な要素となります。
2. 人材 - 人材とその周辺のセキュリティ問題。戦略の各部分を誰が(設計を通じて)実行するかを定義します。人材は人間の集団を表し、価値観、行動、偏見を考慮に入れる必要があります。社内においては、情報セキュリティマネージャーが人事部や法務部と協力して、次のような問題に対処することが不可欠です。
採用戦略(アクセス、身元調査、面接、役割と責任)、雇用問題(オフィスの場所、ツールとデータへのアクセス、トレーニングと意識向上、社内異動)、退職(退職理由、退職時期、役割と責任、システムへのアクセス、他の従業員へのアクセス)。社外では、顧客、サプライヤー、メディア、利害関係者などが企業に強い影響力を持つ可能性があり、セキュリティ体制の中で考慮する必要があります。
3. プロセス - 物事を成し遂げるための公式および非公式のメカニズム(大小、単純および複雑)を含み、すべての動的な相互関係への重要なリンクを提供する。
プロセスは、リスク、可用性、完全性、機密性を特定、測定、管理、制御するとともに、説明責任を確保する。これらは戦略から派生し、組織要素の運用面を実行する。
企業にとって有利となるためには、プロセスは以下の条件を満たす必要がある。
ビジネス要件を満たし、ポリシーに準拠する
新たな可能性を考慮し、変化する要件に適応する
適切な人事部門に文書化して伝達する
導入後は、効率性と有効性を確保するために定期的に見直す必要がある。
4.テクノロジー ― プロセスの効率化を図るためのあらゆるツール、アプリケーション、インフラストラクチャから構成される。テクノロジーは頻繁に変化する進化する要素であり、それ自体に動的なリスクが存在する。一般的な企業がテクノロジーに依存していることを考えると、テクノロジーは企業のインフラストラクチャの中核を成し、その使命を達成する上で不可欠な要素となる。
企業の経営陣は、セキュリティ上の脅威やリスクを解決する手段としてテクノロジーを捉えることが多い。技術的な対策は一部のリスクを軽減するのに役立つものの、テクノロジーを情報セキュリティの万能ソリューションとみなすべきではない。
テクノロジーは、ユーザーと組織文化によって大きく影響を受けます。テクノロジーを信用しない人もいれば、使い方を習得していない人もいます。また、テクノロジーによって作業効率が低下すると感じる人もいます。理由は何であれ、情報セキュリティ管理者は、多くの人が技術的な制御を回避しようとする可能性があることを認識しておく必要があります。
動的な相互接続
動的な相互接続は、要素同士を結びつけ、状況の変化に応じて押し引きする多方向の力を及ぼします。動的な相互接続の中で発生する動作や挙動は、モデルのバランスを崩したり、均衡状態に戻したりする可能性があります。
6つの動的な相互接続は以下のとおりです。
1. ガバナンス - ガバナンスとは、企業を統括するものであり、戦略的なリーダーシップが求められます。ガバナンスは、企業が活動する範囲を定め、業績を監視し、活動を記述し、コンプライアンスを達成すると同時に、新たな状況への適応性を提供するプロセスの中で実施されます。ガバナンスには、目標が決定され明確に定義されていること、リスクが適切に管理されていることを確認すること、そして企業の資源が責任を持って使用されていることを検証することが含まれます。
2. 文化 - 文化とは、行動、信念、前提、態度、物事のやり方のパターンです。それは創発的かつ学習されたものであり、安心感を生み出します。文化は、集団が共通の経験を重ねるにつれて、一種の共有された歴史として進化します。こうした類似した経験は特定の反応を引き起こし、それが期待される共有された行動の集合体となります。これらの行動は暗黙のルールとなり、共通の歴史を持つすべての人々が共有する規範となります。企業の文化を理解することは重要です。なぜなら、文化はどのような情報が考慮され、どのように解釈され、どのように活用されるかに深く影響を与えるからです。文化は、国家レベル(法律/規制、政治、伝統)、組織レベル(方針、階層構造、期待)、社会レベル(家族、エチケット)など、多くのレベルで存在し得ます。文化は外部要因と内部要因の両方から形成され、組織のパターンに影響を与え、また組織のパターンによっても影響を受けます。
3. Enabling and support - The enabling and support dynamic interconnection connects the technology element to the process element. One way to help ensure that people comply with technical security measures, policies and procedures is to make processes usable and easy. Transparency can help generate acceptance for security controls by assuring users that security will not inhibit their ability to work effectively. Many of the actions that affect both technology and processes occur in the enabling and support dynamic interconnection. Policies, standards and guidelines must be designed to support the needs of the business by reducing or eliminating conflicts of interest, remaining flexible to support changing business objectives, and being acceptable and easy for people to follow.
4. Emergence - Emergence - which connotes surfacing, developing, growing and evolving - refers to patterns that arise in the life of the enterprise that appear to have no obvious cause and whose outcomes seem impossible to predict and control. The emergence dynamic interconnection (between people and processes) is a place to introduce possible solutions such as feedback loops; alignment with process improvement; and consideration of emergent issues in system design life cycle, change control, and risk management.
5. Human factors - The human factors dynamic interconnection represents the interaction and gap between technology and people and, as such, is critical to an information security program. If people do not understand how to use the technology, do not embrace the technology or will not follow pertinent policies, serious security problems can evolve. Internal threats such as data leakage, data theft and misuse of data can occur within this dynamic interconnection. Human factors may arise because of age, experience level and/or cultural experiences. Because human factors are critical components in maintaining balance within the model, it is important to train all of the enterprise's human resources on pertinent skills.
6. Architecture - A security architecture is a comprehensive and formal encapsulation of the people, processes, policies and technology that comprise an enterprise's security practices. A robust business information architecture is essential to understanding the need for security and designing the security architecture. It is within the architecture dynamic interconnection that the enterprise can ensure defense in depth. The design describes how the security controls are positioned and how they relate to the overall IT architecture. An enterprise security architecture facilitates security capabilities across lines of businesses in a consistent and a cost-effective manner and enables enterprises to be proactive with their security investment decisions.
The following answers are incorrect:
ガバナンス ― ガバナンスとは、企業を統括するものであり、戦略的なリーダーシップが求められます。ガバナンスは、企業が活動する範囲を定め、業績を監視し、活動を記述し、コンプライアンスを達成すると同時に、新たな状況への適応性を確保するためのプロセスの中で実施されます。
ガバナンスには、目標が決定され明確に定義されていること、リスクが適切に管理されていることを確認すること、そして企業の資源が責任を持って使用されていることを検証することが含まれる。
有効化とサポート - 有効化とサポートの動的な相互接続は、テクノロジー要素とプロセス要素を結び付けます。人々が技術的なセキュリティ対策、ポリシー、手順を遵守することを確実にする方法の1つは、プロセスを使いやすく、容易にすることです。透明性は、セキュリティが効果的な作業能力を阻害しないことをユーザーに保証することで、セキュリティ制御の受け入れを促進するのに役立ちます。テクノロジーとプロセスの両方に影響を与える多くのアクションは、有効化とサポートの動的な相互接続の中で発生します。ポリシー、標準、ガイドラインは、利益相反を軽減または排除し、変化するビジネス目標をサポートする柔軟性を維持し、人々が受け入れやすく、容易に従えるように設計する必要があります。
文化とは、行動、信念、前提、態度、物事のやり方のパターンです。それは自然に生まれ、学習されるものであり、安心感を生み出します。文化は、集団が共通の経験を重ねるにつれて、一種の共有された歴史として進化します。こうした類似した経験は特定の反応を引き起こし、それが期待される共通の行動となります。これらの行動は暗黙のルールとなり、共通の歴史を持つすべての人々が共有する規範となります。企業の文化を理解することは重要です。なぜなら、文化はどのような情報が考慮され、どのように解釈され、どのように活用されるかに深く影響を与えるからです。文化は、国家レベル(法律/規制、政治、伝統)、組織レベル(方針、階層構造、期待)、社会レベル(家族、エチケット)など、多くのレベルで存在し得ます。文化は外部要因と内部要因の両方から形成され、組織のパターンに影響を与え、また組織のパターンによっても影響を受けます。
参照:
CISAレビューマニュアル2014年版、37ページと38ページ
http://www.isaca.org/Knowledge-Center/BMIS/Documents/IntrotoBMIS.pdf
Explanation:
Emergence - which connotes surfacing, developing, growing and evolving - refers to patterns that arise in the life of the enterprise that appear to have no obvious cause and whose outcomes seem impossible to predict and control. The emergence dynamic interconnection (between people and processes) is a place to introduce possible solutions such as feedback loops; alignment with process improvement; and consideration of emergent issues in system design life cycle, change control, and risk management.
For your exam you should know the information below.
Business Model for Information Security
情報セキュリティのビジネスモデル(BMIS)は、米国南カリフォルニア大学マーシャル・ビジネススクールの重要情報インフラ保護研究所で生まれました。ISACAは、システムセキュリティ管理モデルの開発に取り組んでいます。BMISは、同研究所が開発した基礎概念に基づき、情報セキュリティ管理にビジネス指向のアプローチを採用しています。このモデルは、システム思考を活用して企業内の複雑な関係性を明確にし、セキュリティをより効果的に管理します。モデルの基盤となる要素と動的な相互接続は、情報セキュリティプログラムの境界を定め、プログラムがどのように機能し、内部および外部の変化にどのように反応するかをモデル化します。BMISは、Cubitなどのフレームワークのコンテキストを提供します。
システム理論の本質は、システムを正確に理解するためには、単に構成要素の総和としてではなく、全体として捉える必要があるという点にあります。全体論的なアプローチでは、システムを完全な機能単位として考察します。システム理論のもう一つの原則は、システムの一部を理解することで、他の部分を理解することができるという点です。「システム思考」は、システムがどのように相互作用し、複雑なシステムがどのように機能し、「全体は部分の総和以上である」理由を考察することを指す、広く認知された用語です。システム理論は、多くの場合目に見えない予期せぬ方法で相互作用する、事象、関係、反応、結果、技術、プロセス、および人々の複雑なネットワークとして最も正確に説明できます。相互作用の挙動と結果を研究することで、管理者は組織システムとその機能の仕方をよりよく理解することができます。企業内のあらゆる分野の管理は、システム思考の観点からアプローチすることで強化できますが、その導入はリスク管理に確実に役立ちます。
システムアプローチが他の分野で収めてきた成功は、セキュリティ分野においても同様の効果が期待できることを示しています。近年、企業がセキュリティ問題に適切に対処できずに深刻な失敗を繰り返すのは、セキュリティを定義し、すべてのステークホルダーにとって理解しやすく関連性の高い形で提示できていないことが大きな原因です。情報セキュリティ管理にシステムアプローチを採用することで、情報セキュリティ管理者は複雑で動的な環境に対応できるようになり、企業内の連携、業務変更への適応、戦略的不確実性への対応、外部要因の影響への耐性といった面で有益な効果が得られます。そのモデルを以下に示します。

上記に示したように、このモデルは、6つの動的な相互接続によって連結された4つの要素から構成される、柔軟な3次元のピラミッド型構造として捉えるのが最適です。
モデルのすべての要素は相互に作用し合います。モデルのいずれかの部分が変更されたり、対処されなかったり、不適切に管理されたりすると、モデルの均衡が損なわれる可能性があります。動的な相互接続は張力として働き、企業の変化に応じて押し引きの力を発揮し、モデルが必要に応じて適応できるようにします。
このモデルを構成する4つの要素は以下のとおりです。
1. 組織設計と戦略 - 組織とは、明確に定義された役割の中で互いに相互作用し、共通の目標に向かって活動する人、資産、プロセスのネットワークである。
企業の戦略は、事業目標、達成すべき目的、追求すべき価値観や使命を明確に定めたものです。それは企業の成功の方程式であり、基本的な方向性を示します。戦略は外部要因と内部要因に適応する必要があります。戦略を策定する上で最も重要な要素はリソースであり、リソースには様々な種類(人材、設備、ノウハウなど)があります。設計とは、組織が戦略をどのように実行するかを定義するものです。プロセス、文化、そしてアーキテクチャは、設計を決定する上で重要な要素となります。
2. 人材 - 人材とその周辺のセキュリティ問題。戦略の各部分を誰が(設計を通じて)実行するかを定義します。人材は人間の集団を表し、価値観、行動、偏見を考慮に入れる必要があります。社内においては、情報セキュリティマネージャーが人事部や法務部と協力して、次のような問題に対処することが不可欠です。
採用戦略(アクセス、身元調査、面接、役割と責任)、雇用問題(オフィスの場所、ツールとデータへのアクセス、トレーニングと意識向上、社内異動)、退職(退職理由、退職時期、役割と責任、システムへのアクセス、他の従業員へのアクセス)。社外では、顧客、サプライヤー、メディア、利害関係者などが企業に強い影響力を持つ可能性があり、セキュリティ体制の中で考慮する必要があります。
3. プロセス - 物事を成し遂げるための公式および非公式のメカニズム(大小、単純および複雑)を含み、すべての動的な相互関係への重要なリンクを提供する。
プロセスは、リスク、可用性、完全性、機密性を特定、測定、管理、制御するとともに、説明責任を確保する。これらは戦略から派生し、組織要素の運用面を実行する。
企業にとって有利となるためには、プロセスは以下の条件を満たす必要がある。
ビジネス要件を満たし、ポリシーに準拠する
新たな可能性を考慮し、変化する要件に適応する
適切な人事部門に文書化して伝達する
導入後は、効率性と有効性を確保するために定期的に見直す必要がある。
4.テクノロジー ― プロセスの効率化を図るためのあらゆるツール、アプリケーション、インフラストラクチャから構成される。テクノロジーは頻繁に変化する進化する要素であり、それ自体に動的なリスクが存在する。一般的な企業がテクノロジーに依存していることを考えると、テクノロジーは企業のインフラストラクチャの中核を成し、その使命を達成する上で不可欠な要素となる。
企業の経営陣は、セキュリティ上の脅威やリスクを解決する手段としてテクノロジーを捉えることが多い。技術的な対策は一部のリスクを軽減するのに役立つものの、テクノロジーを情報セキュリティの万能ソリューションとみなすべきではない。
テクノロジーは、ユーザーと組織文化によって大きく影響を受けます。テクノロジーを信用しない人もいれば、使い方を習得していない人もいます。また、テクノロジーによって作業効率が低下すると感じる人もいます。理由は何であれ、情報セキュリティ管理者は、多くの人が技術的な制御を回避しようとする可能性があることを認識しておく必要があります。
動的な相互接続
動的な相互接続は、要素同士を結びつけ、状況の変化に応じて押し引きする多方向の力を及ぼします。動的な相互接続の中で発生する動作や挙動は、モデルのバランスを崩したり、均衡状態に戻したりする可能性があります。
6つの動的な相互接続は以下のとおりです。
1. ガバナンス - ガバナンスとは、企業を統括するものであり、戦略的なリーダーシップが求められます。ガバナンスは、企業が活動する範囲を定め、業績を監視し、活動を記述し、コンプライアンスを達成すると同時に、新たな状況への適応性を提供するプロセスの中で実施されます。ガバナンスには、目標が決定され明確に定義されていること、リスクが適切に管理されていることを確認すること、そして企業の資源が責任を持って使用されていることを検証することが含まれます。
2. 文化 - 文化とは、行動、信念、前提、態度、物事のやり方のパターンです。それは創発的かつ学習されたものであり、安心感を生み出します。文化は、集団が共通の経験を重ねるにつれて、一種の共有された歴史として進化します。こうした類似した経験は特定の反応を引き起こし、それが期待される共有された行動の集合体となります。これらの行動は暗黙のルールとなり、共通の歴史を持つすべての人々が共有する規範となります。企業の文化を理解することは重要です。なぜなら、文化はどのような情報が考慮され、どのように解釈され、どのように活用されるかに深く影響を与えるからです。文化は、国家レベル(法律/規制、政治、伝統)、組織レベル(方針、階層構造、期待)、社会レベル(家族、エチケット)など、多くのレベルで存在し得ます。文化は外部要因と内部要因の両方から形成され、組織のパターンに影響を与え、また組織のパターンによっても影響を受けます。
3. Enabling and support - The enabling and support dynamic interconnection connects the technology element to the process element. One way to help ensure that people comply with technical security measures, policies and procedures is to make processes usable and easy. Transparency can help generate acceptance for security controls by assuring users that security will not inhibit their ability to work effectively. Many of the actions that affect both technology and processes occur in the enabling and support dynamic interconnection. Policies, standards and guidelines must be designed to support the needs of the business by reducing or eliminating conflicts of interest, remaining flexible to support changing business objectives, and being acceptable and easy for people to follow.
4. Emergence - Emergence - which connotes surfacing, developing, growing and evolving - refers to patterns that arise in the life of the enterprise that appear to have no obvious cause and whose outcomes seem impossible to predict and control. The emergence dynamic interconnection (between people and processes) is a place to introduce possible solutions such as feedback loops; alignment with process improvement; and consideration of emergent issues in system design life cycle, change control, and risk management.
5. Human factors - The human factors dynamic interconnection represents the interaction and gap between technology and people and, as such, is critical to an information security program. If people do not understand how to use the technology, do not embrace the technology or will not follow pertinent policies, serious security problems can evolve. Internal threats such as data leakage, data theft and misuse of data can occur within this dynamic interconnection. Human factors may arise because of age, experience level and/or cultural experiences. Because human factors are critical components in maintaining balance within the model, it is important to train all of the enterprise's human resources on pertinent skills.
6. Architecture - A security architecture is a comprehensive and formal encapsulation of the people, processes, policies and technology that comprise an enterprise's security practices. A robust business information architecture is essential to understanding the need for security and designing the security architecture. It is within the architecture dynamic interconnection that the enterprise can ensure defense in depth. The design describes how the security controls are positioned and how they relate to the overall IT architecture. An enterprise security architecture facilitates security capabilities across lines of businesses in a consistent and a cost-effective manner and enables enterprises to be proactive with their security investment decisions.
The following answers are incorrect:
ガバナンス ― ガバナンスとは、企業を統括するものであり、戦略的なリーダーシップが求められます。ガバナンスは、企業が活動する範囲を定め、業績を監視し、活動を記述し、コンプライアンスを達成すると同時に、新たな状況への適応性を確保するためのプロセスの中で実施されます。
ガバナンスには、目標が決定され明確に定義されていること、リスクが適切に管理されていることを確認すること、そして企業の資源が責任を持って使用されていることを検証することが含まれる。
有効化とサポート - 有効化とサポートの動的な相互接続は、テクノロジー要素とプロセス要素を結び付けます。人々が技術的なセキュリティ対策、ポリシー、手順を遵守することを確実にする方法の1つは、プロセスを使いやすく、容易にすることです。透明性は、セキュリティが効果的な作業能力を阻害しないことをユーザーに保証することで、セキュリティ制御の受け入れを促進するのに役立ちます。テクノロジーとプロセスの両方に影響を与える多くのアクションは、有効化とサポートの動的な相互接続の中で発生します。ポリシー、標準、ガイドラインは、利益相反を軽減または排除し、変化するビジネス目標をサポートする柔軟性を維持し、人々が受け入れやすく、容易に従えるように設計する必要があります。
文化とは、行動、信念、前提、態度、物事のやり方のパターンです。それは自然に生まれ、学習されるものであり、安心感を生み出します。文化は、集団が共通の経験を重ねるにつれて、一種の共有された歴史として進化します。こうした類似した経験は特定の反応を引き起こし、それが期待される共通の行動となります。これらの行動は暗黙のルールとなり、共通の歴史を持つすべての人々が共有する規範となります。企業の文化を理解することは重要です。なぜなら、文化はどのような情報が考慮され、どのように解釈され、どのように活用されるかに深く影響を与えるからです。文化は、国家レベル(法律/規制、政治、伝統)、組織レベル(方針、階層構造、期待)、社会レベル(家族、エチケット)など、多くのレベルで存在し得ます。文化は外部要因と内部要因の両方から形成され、組織のパターンに影響を与え、また組織のパターンによっても影響を受けます。
参照:
CISAレビューマニュアル2014年版、37ページと38ページ
http://www.isaca.org/Knowledge-Center/BMIS/Documents/IntrotoBMIS.pdf
CISA 試験問題 97
Which of the following observations should be of GREATEST concern to an IS auditor reviewing a large organization's virtualization environment?
正解: B
CISA 試験問題 98
ビジネスインパクト分析(BIA)を実施する際に使用されるデータは、次のうちどれですか?
正解: A
セクション:ITのガバナンスと管理
CISA 試験問題 99
An IS auditor is reviewing the perimeter security design of a network. Which of the following provides the GREATEST assurance outgoing Internet traffic is controlled?
正解: C
A stateful firewall provides the greatest assurance that outgoing Internet traffic is controlled, as it monitors and filters packets based on their source, destination and connection state. A stateful firewall can prevent unauthorized or malicious traffic from leaving the network, as well as block incoming traffic that does not match an established connection. An intrusion detection system (IDS) can detect and alert on suspicious or anomalous traffic, but it does not block or control it. A security information and event management (SIEM) system can collect and analyze logs and events from various sources, but it does not directly control traffic. A load balancer can distribute traffic among multiple servers, but it does not filter or monitor it. References:
CISA Review Manual (Digital Version), Chapter 6, Section 6.2
CISA Review Manual (Digital Version), Chapter 6, Section 6.2
CISA 試験問題 100
Which of the following will be the MOST effective method to verify that a service vendor keeps control levels as required by the client?
正解: A
Explanation
The most effective method to verify that a service vendor keeps control levels as required by the client is to conduct periodic on-site assessments using agreed-upon criteria. On-site assessments can provide direct evidence of whether the vendor's controls are operating effectively and consistently in accordance with the client's expectations and requirements. Agreed-upon criteria can ensure that the assessments are objective, relevant, and reliable. The other options are not as effective as on-site assessments in verifying the vendor's control levels. Periodically reviewing the SLA with the vendor can help monitor whether the vendor meets its contractual obligations and service standards, but it does not provide assurance of whether the vendor's controls are adequate or sufficient. Conducting an unannounced vulnerability assessment of vendor's IT systems can help identify any weaknesses or gaps in the vendor's security controls, but it may violate the terms and conditions of the vendor-client relationship or cause operational disruptions. Obtaining evidence of the vendor's CSA can provide some indication of whether the vendor's controls are self-monitored and reported, but it does not verify whether the vendor's controls are independent or accurate. References: CISA Review Manual (Digital Version), Chapter 5, Section 5.4
The most effective method to verify that a service vendor keeps control levels as required by the client is to conduct periodic on-site assessments using agreed-upon criteria. On-site assessments can provide direct evidence of whether the vendor's controls are operating effectively and consistently in accordance with the client's expectations and requirements. Agreed-upon criteria can ensure that the assessments are objective, relevant, and reliable. The other options are not as effective as on-site assessments in verifying the vendor's control levels. Periodically reviewing the SLA with the vendor can help monitor whether the vendor meets its contractual obligations and service standards, but it does not provide assurance of whether the vendor's controls are adequate or sufficient. Conducting an unannounced vulnerability assessment of vendor's IT systems can help identify any weaknesses or gaps in the vendor's security controls, but it may violate the terms and conditions of the vendor-client relationship or cause operational disruptions. Obtaining evidence of the vendor's CSA can provide some indication of whether the vendor's controls are self-monitored and reported, but it does not verify whether the vendor's controls are independent or accurate. References: CISA Review Manual (Digital Version), Chapter 5, Section 5.4
- 他のバージョン
- 2019ISACA.CISA.v2026-05-23.q352
- 6064ISACA.CISA.v2025-02-07.q999
- 4266ISACA.CISA.v2024-09-23.q905
- 993ISACA.CISA.v2024-06-15.q120
- 2499ISACA.CISA.v2023-11-23.q401
- 1971ISACA.CISA.v2022-12-04.q122
- 最新アップロード
- 131LinuxFoundation.KCSA.v2026-07-11.q23
- 129Fortinet.NSE7_SOC_AR-7.6.v2026-07-11.q23
- 199Salesforce.Data-Architect.v2026-07-11.q178
- 314Cisco.350-801.v2026-07-11.q280
- 545ISACA.CISA.v2026-07-11.q999
- 321ISC.CCSP.v2026-07-11.q364
- 164Fortinet.FCP_FAZ_AN-7.6.v2026-07-11.q88
- 305Google.Professional-Cloud-Developer.v2026-07-10.q342
- 136WGU.Applied-Algebra.v2026-07-10.q33
- 173Esri.EAEP_2025.v2026-07-10.q95
