[2026-06-26更新,913問] 無料ISACA CISM試験問題集、CISM日本語対策(ページ 25)

CISM 試験問題 116

ある組織が社内ドキュメントコラボレーションサイトを構築しました。各プロジェクトグループのデータの信頼性を確保するには、以下の点が最も重要です。

A. サイトへのリモートアクセスを禁止する

B. 脆弱性評価を実施する

C. ドキュメントライフサイクル管理を強制する

D. 定期的にアクセス権を再認証します。

CISM 試験問題 117

ある組織はSoftware as a Service（SaaS）の活用を計画しており、ベンダー選定を進めています。この取り組みを支援するために、情報セキュリティマネージャーはまず何をすべきでしょうか？

A. 各ベンダーの独立したセキュリティ評価レポートを確認します。

B. 業界のベストプラクティスを使用して各ベンダーのサービスをベンチマークします。

C. リスクを分析し、軽減するための制御を提案します。

D. 情報セキュリティの要件とプロセスを定義します。

正解: D

説明
情報セキュリティの要件とプロセスを定義することは、SaaS (Software as a Service) を活用し、ベンダーを選択する取り組みをサポートするために情報セキュリティマネージャーが最初に行うべきことです。
情報セキュリティの要件とプロセスは、SaaSベンダーとソリューションを評価・比較するための基盤となるだけでなく、SaaSサービスと組織のセキュリティ目標、ポリシー、標準との整合性を確保するための基盤となるからです。情報セキュリティの要件とプロセスには、データ保護、アクセス制御、暗号化、認証、認可、監査、コンプライアンス、インシデント対応、災害復旧、サービスレベル契約といった側面を含める必要があります12。各ベンダーの独立したセキュリティ評価レポート（A）のレビューは、SaaSの活用とベンダー選定の取り組みを支援する上で有用ですが、最初に行うべきことではありません。独立したセキュリティ評価レポートは、業界標準、フレームワーク、規制への準拠、脆弱性とリスク管理、セキュリティテストと監査結果など、SaaSベンダーとソリューションのセキュリティ体制、実践、パフォーマンスに関する貴重な情報を提供します。しかし、独立したセキュリティ評価レポートのレビューは、情報セキュリティの要件とプロセスを定義した後に行うべきであり、これはセキュリティ評価の範囲、基準、期待値を決定するのに役立ちます12。各ベンダーのサービスを業界のベストプラクティスでベンチマークすること (B) も、SaaS を活用しベンダーを選択する取り組みをサポートする上で役立ちますが、最初に行うべきことではありません。各ベンダーのサービスを業界のベストプラクティスでベンチマークすることは、SaaS ベンダーとソリューションの品質、パフォーマンス、価値を測定および比較するのに役立つだけでなく、SaaS サービスのギャップ、強み、弱みを特定するのに役立ちます。ただし、各ベンダーのサービスを業界のベストプラクティスでベンチマークすることは、情報セキュリティの要件とプロセスを定義した後に行う必要があります。これは、SaaS サービスに関連性のある適切な業界のベストプラクティスを選択するのに役立ちます12。リスクを分析し、リスクを軽減するためのコントロールを提案することも、SaaS を活用しベンダーを選択する取り組みをサポートする上で役立ちますが、最初に行うべきことではありません。リスク分析と軽減策の提案は、SaaSベンダーおよびソリューションのセキュリティ、可用性、信頼性に影響を及ぼす可能性のある潜在的な脅威、脆弱性、影響を特定・評価し、リスクを軽減または排除するために必要な対策を推奨・実施するのに役立ちます。ただし、リスク分析と軽減策の提案は、情報セキュリティ要件とプロセスを定義した後に行う必要があります。これは、SaaSサービスのリスク選好度、許容度、および基準を確立するのに役立ちます12。参考文献：1：CISMレビューマニュアル第15版、82～83ページ、2：RFP基準の開発によるSaaSプロバイダーとソリューションの評価方法 - Gartner2

CISM 試験問題 118

リスク分析の範囲を最もよく説明しているのは次のうちどれですか?

A. 主要な金融システム

B. 組織活動

C. 主要システムとインフラストラクチャ

D. 規制遵守の対象となるシステム

CISM 試験問題 119

組織のセキュリティポリシーがデータセキュリティ規制要件に準拠していることを確認するための最良の方法は次のうちどれですか。

A. ポリシーを関係者に送信してレビューしてもらいます。

B. コンプライアンス活動をアウトソーシングします。

C. ポリシーを最も厳しいグローバル規制に適合させます。

D. 経営幹部から毎年承認を得る。

CISM 試験問題 120

経営陣は、最近の業界におけるセキュリティ侵害を受けて、既存のセキュリティソリューションではグローバルに複数存在するデータセンターを適切に保護できないのではないかと懸念しています。次に何をすべきでしょうか？

A. ギャップ分析を実行します。

B. ビジネス影響分析 (BIA) を実施します。

C. リスク評価を実行します。

D. 内部監査レビューを要求します。

他のバージョン: 3528ISACA.CISM.v2024-11-15.q999; 1597ISACA.CISM.v2024-05-07.q456; 2553ISACA.CISM.v2023-07-03.q397; 3660ISACA.CISM.v2023-01-05.q433

最新アップロード: 215NCLEX.NCLEX-RN.v2026-06-27.q583; 117Juniper.JN0-232.v2026-06-27.q23; 127BICSI.INSTC_V8.v2026-06-27.q59; 206Cisco.300-710.v2026-06-26.q474; 173ISACA.CISM.v2026-06-26.q913; 163Salesforce.Integration-Architect.v2026-06-26.q116; 210Cisco.350-401.v2026-06-26.q363; 146Salesforce.MC-101.v2026-06-26.q44; 192CheckPoint.156-315.81.v2026-06-26.q678; 199Peoplecert.MSP-Practitioner.v2026-06-24.q75

CISM 試験問題 116

CISM 試験問題 117

CISM 試験問題 118

CISM 試験問題 119

CISM 試験問題 120

PDFファイルをダウンロード