[2024-05-07更新,456問] 無料ISACA CISM試験問題集、CISM資格練習(ページ 21)

CISM 試験問題 96

セキュリティ目標を見直し、事業部門全体でのセキュリティの統合を確保することが主に次の点に焦点を当てています。

A. 経営陣

B. 最高情報セキュリティ責任者 (CISO)

C. 取締役会

D. 運営委員会。

CISM 試験問題 97

許可されていない個人が安全な入り口から許可された人を尾行すること（共連れまたは肩車）を防ぐのに最も効果的なのは次のうちどれですか?

A. カードキーのドアロック

B. 写真付き身分証明書

C. 生体認証スキャナー

D. 意識向上トレーニング

CISM 試験問題 98

リスクオーナーの責任は次のうちどれですか?

A. リスク対応を指示するためのリスク評価の実行

B. 組織のリスク選好度の決定

C. 制御の有効性が監視されていることを確認する

D. リスクを軽減するための制御の実装

CISM 試験問題 99

インシデント対応計画を作成する場合、セキュリティインシデントの明確な定義を確立する主な利点は、次のことが役立つことです。

A. 関係者に対するインシデント対応プロセス

B. インシデント対応チームに適切な人員を配置し、訓練します。

C. 効果的なエスカレーション手順と対応手順を開発します。

D. 卓上テストをより効果的にします。

正解: C

セキュリティインシデントの明確な定義を確立する主な利点は、効果的なエスカレーションと対応手順の開発に役立つことです。セキュリティインシデントとは、組織の情報やシステムの通常の運用、セキュリティ、またはプライバシーを混乱させたり、脅かしたりする出来事または試みです1。セキュリティインシデントを明確に定義すると、次のことが役立ちます。
* 正常なイベントと異常なイベント、およびセキュリティ関連イベントとセキュリティ関連でないイベントを区別する
* インシデントの重大度と影響、および適切な対応レベルを決定する
* インシデントの検出、報告、分析、封じ込め、根絶、回復、およびインシデント後の活動に対する役割と責任を割り当てます。
* インシデントを上級当局または外部関係者にエスカレーションするための基準としきい値を確立する
* インシデントの通知と調整のための通信チャネルとプロトコルを定義する
* インシデント対応のプロセスと手順を正式な計画に文書化する NIST によると、セキュリティインシデントの明確な定義は、効果的なインシデント対応能力の重要な要素の 1 つです2。他のオプションは、セキュリティインシデントの明確な定義を確立することの主な利点ではありません。インシデント対応プロセスを関係者に伝えることは重要ですが、それはセキュリティインシデントを定義する主な目的ではありません。インシデント対応チームに適切な人員配置とトレーニングを行うことは不可欠ですが、それはセキュリティインシデントの定義以外の要因によって決まります。机上テストをより効果的にすることは結果として考えられますが、セキュリティインシデントを定義することによる直接的な利点ではありません。参考資料: 2: NIST SP 800-61 Rev. 2 コンピュータセキュリティインシデント処理ガイド 1: NIST 用語集 - セキュリティインシデント : セキュリティインシデントとは何ですか? - TechTarget : 10 種類のセキュリティインシデントとその対処方法 - TechTarget : 45 CFR § 164.304 - 定義 - 電子連邦規則集

CISM 試験問題 100

ある組織は最近、ミッションクリティカルなビジネスアプリケーションの開発を外部委託しました。バックドアの存在をテストする最良の方法は次のうちどれですか?

A. 脆弱性スキャンツールを使用してアプリケーション全体をスキャンします。

B. テストシステム上の高い特権を持つアカウントからアプリケーションを実行します。

C. アプリケーション全体でセキュリティコードレビューを実行します。

D. 機密情報の漏洩がないかインターネットトラフィックを監視します。

正解: C

説明
サードパーティ開発者に委託されたミッションクリティカルなビジネスアプリケーションにバックドアが存在するかどうかをテストする最良の方法は、アプリケーション全体でセキュリティコードレビューを実行することです。バックドアとは、ソフトウェアアプリケーション内の隠された、または文書化されていない機能であり、アプリケーションやアプリケーションが実行されるシステムへの不正またはリモートからのアクセス、制御、操作を可能にします。バックドアは、開発者によって意図的または非意図的に導入されるか、攻撃者によって悪意を持って挿入される可能性があり、組織とそのデータに重大なセキュリティリスクや脅威をもたらす可能性があります。セキュリティコードレビューは、ソフトウェアアプリケーションのソースコードを調査および分析して、アプリケーションまたはシステムの機能、パフォーマンス、または整合性を損なう可能性のあるセキュリティの脆弱性、欠陥、またはバックドアなどの弱点を特定して排除するプロセスです。。セキュリティコードレビューは、セキュリティ専門家によって手動で実行することも、セキュリティツールによって自動的に実行することも、その両方で実行することもできます。また、設計、コーディング、テスト、展開など、ソフトウェア開発ライフサイクルのさまざまな段階で実行できます。セキュリティコードレビューは、アプリケーション内のバックドアが攻撃者に悪用される前に検出して削除するのに役立ち、またアプリケーションの品質、信頼性、セキュリティの向上にも役立ちます。
参考文献 = CISM レビューマニュアル、第 16 版、第 3 章: 情報セキュリティプログラムの開発と管理、セクション: 情報セキュリティプログラムの開発、1581 ページ。CISM レビューの質問、回答および説明マニュアル、第 10 版、質問 87、812 ページ。CISM アイテム開発ガイド、63 ページ。

他のバージョン: 2240ISACA.CISM.v2024-11-15.q999; 1785ISACA.CISM.v2023-07-03.q397; 3117ISACA.CISM.v2023-01-05.q433

最新アップロード: 103SAP.C-C4H56I-34.v2025-09-08.q74; 114Salesforce.Agentforce-Specialist.v2025-09-08.q82; 104Salesforce.Public-Sector-Solutions.v2025-09-08.q93; 103Fortinet.FCP_FAZ_AD-7.4.v2025-09-08.q75; 103SAP.C-S4TM-2023.v2025-09-08.q86; 137SAP.C-TS412-2021.v2025-09-06.q90; 177Microsoft.MB-700.v2025-09-06.q281; 150Docker.DCA.v2025-09-06.q175; 118SAP.C-BCFIN-2502.v2025-09-05.q12; 135Avaya.77201X.v2025-09-05.q58

CISM 試験問題 96

CISM 試験問題 97

CISM 試験問題 98

CISM 試験問題 99

CISM 試験問題 100

PDFファイルをダウンロード