[2024-05-07更新,456問] 無料ISACA CISM試験問題集、CISM資格練習(ページ 46)

CISM 試験問題 221

情報セキュリティインシデントを効果的かつタイムリーに管理するための最も効果的な方法は何ですか?

A. 上級管理職のコミットメントを得る

B. インシデント対応手順を定期的にテストします。

C. インシデント対応手順をスタッフに伝えます。

D. 主要業績評価指標 (KPI) を確立して測定します。

CISM 試験問題 222

組織が直面している進行中の脅威について最も包括的な洞察を提供するものは次のうちどれですか?

A. ビジネス影響分析 (BIA)

B. リスクレジスタ

C. 侵入テスト

D. 脆弱性評価

正解: B

説明
リスク登録簿は、組織が直面する情報セキュリティリスク (発生源、影響、可能性、対応、ステータスなど) を記録および追跡する文書です。リスクレジスタは、内部脅威と外部脅威の両方に加え、組織の資産、プロセス、目標に対するそれらの現在および潜在的な影響をカバーするため、組織が直面している進行中の脅威に関する最も包括的な洞察を提供します。リスク登録は、リスク軽減措置と管理の優先順位付けと監視、および関連する利害関係者へのリスク情報の伝達にも役立ちます。したがって、選択肢 B が最も適切な答えです。
ビジネス影響分析 (BIA) は、組織の重要なビジネス機能、資産、依存関係を特定して評価し、中断や損失が発生した場合の潜在的な影響を評価するプロセスであるため、オプション A は最良の答えではありません。BIA は、脅威の原因、可能性、または対応よりも脅威の結果に重点を置いているため、組織が直面している進行中の脅威に関する包括的な洞察を提供するものではありません。BIA は主に、情報セキュリティリスク管理ではなく、事業継続性と災害復旧計画をサポートするために使用されます。
オプション C は最良の答えではありません。ペネトレーションテストは、組織の IT システムまたはネットワークに対する悪意のある攻撃をシミュレートし、セキュリティ体制を評価し、実際の攻撃者によって悪用される可能性のある脆弱性や弱点を特定する方法だからです。ペネトレーションテストは、脅威、ソース、影響の全範囲ではなく、特定の範囲、ターゲット、シナリオのみをカバーするため、組織が直面している進行中の脅威に関する包括的な洞察を提供しません。侵入テストは主に、情報セキュリティのリスク管理ではなく、技術的なセキュリティ管理を検証および改善するために使用されます。
オプション D は最良の答えではありません。脆弱性評価は、組織の IT システムまたはネットワークをスキャンして分析し、セキュリティリスクを引き起こす可能性のある欠陥やギャップを検出して報告するプロセスであるためです。
脆弱性評価は、脅威のビジネス、法律、規制への影響ではなく、脅威の技術的側面のみをカバーするため、組織が直面している現在進行中の脅威についての包括的な洞察を提供するものではありません。脆弱性評価は、情報セキュリティのリスク管理ではなく、主にセキュリティの弱点を特定して修正するために使用されます。参考文献 = CISM レビューマニュアル第 15 版 1、258 ～ 259 ページ。CISM レビューの質問、回答、説明データベース - 12 か月のサブスクリプション、QID 306。
リスクレジスタは、組織が直面している進行中の脅威に関する最も包括的な洞察を提供します。これは、リスク登録簿が、特定されたリスク、その可能性、影響、軽減戦略、ステータスを記録および追跡する文書であるためです。リスク登録は、組織がその目的、資産、業務に影響を与える可能性のある脅威を監視および管理するのに役立ちます。リスク登録は、組織が対応作業に優先順位を付け、それに応じてリソースを割り当てるのにも役立ちます。

CISM 試験問題 223

IT に対するパフォーマンスのプレッシャーが情報セキュリティ管理と矛盾する可能性があるという問題に対処するには、次のことが最も重要です。

A. コンプライアンス違反の問題は上級管理者に報告されます

B. 情報セキュリティ管理はビジネスパフォーマンスの問題を理解しています

C. IT パフォーマンスのプレッシャーに対応するためにセキュリティポリシーが変更されます

D. 上級管理者が指導と紛争解決を提供します

CISM 試験問題 224

情報セキュリティに影響を与える法的および規制上の問題を特定する場合、情報セキュリティポリシーを策定するための最良のアプローチは次のうちどれですか?

A. 各規制に対応する個別のポリシーを作成します。

B. すべての必須要件を満たすポリシーを作成します。

C. 規制当局が提供するポリシーステートメントを組み込む

D. コンプライアンスリスク評価を作成する

CISM 試験問題 225

情報セキュリティ管理者は、セキュリティリスクがタイムリーに処理されていないことを確認しました。次のうちどれ

A. リスクの現状に関する最新情報を定期的に提供します。

B. リスク分析を定期的に再実行します。

C. 各リスクにリスク所有者を割り当てます。

D. リスクを管理するための緩和コントロールを作成します。

他のバージョン: 2305ISACA.CISM.v2024-11-15.q999; 1814ISACA.CISM.v2023-07-03.q397; 3180ISACA.CISM.v2023-01-05.q433

最新アップロード: 196Salesforce.Sales-Cloud-Consultant.v2025-09-09.q128; 127SAP.C-C4H56I-34.v2025-09-08.q74; 202Salesforce.Agentforce-Specialist.v2025-09-08.q82; 134Salesforce.Public-Sector-Solutions.v2025-09-08.q93; 142Fortinet.FCP_FAZ_AD-7.4.v2025-09-08.q75; 136SAP.C-S4TM-2023.v2025-09-08.q86; 150SAP.C-TS412-2021.v2025-09-06.q90; 199Microsoft.MB-700.v2025-09-06.q281; 213Docker.DCA.v2025-09-06.q175; 124SAP.C-BCFIN-2502.v2025-09-05.q12

CISM 試験問題 221

CISM 試験問題 222

CISM 試験問題 223

CISM 試験問題 224

CISM 試験問題 225

PDFファイルをダウンロード