[2025-03-28更新,924問] 無料ISACA CRISC試験問題集、CRISCテスト資料(ページ 20)

CRISC 試験問題 91

組織全体のリスク評価を実施しているときに、情報セキュリティポリシーの多くが過去 3 年間変更されていないことに気付きました。最善の対応策は次のとおりです。

A. 業界標準に合わせてポリシーを見直し、更新します。

B. ポリシーを毎年更新する必要があることを決定します。

C. ポリシーは適切であり、頻繁に更新する必要がないことを報告します。

D. 現在のニーズに照らしてポリシーを見直し、適切性を判断します。

正解: D

情報セキュリティポリシーは、情報資産とシステムを保護するための目的、役割、責任、および標準を定義するため、組織のセキュリティプログラムの基盤となります。ただし、情報セキュリティポリシーは静的なものではなく、組織の環境、リスクプロファイル、およびコンプライアンス要件の変化を反映するために、定期的に見直し、更新する必要があります。したがって、組織全体のリスク評価を実施する場合の最適な方法は、現在のニーズに照らしてポリシーを見直し、適切性を判断することです。つまり、ポリシーを現在の脅威、脆弱性、制御、およびベストプラクティスと比較し、対処する必要があるギャップや弱点を特定するということです。
その他のオプションは、組織の現在のニーズを考慮していないため、最善の行動方針ではありません。業界標準に合わせてポリシーを見直して更新するだけでは不十分な場合があります。組織には標準でカバーされていない特定のニーズや独自のニーズがある可能性があるためです。ポリシーを毎年更新する必要があると判断することは現実的ではない場合があります。更新の頻度はポリシーと組織の性質と複雑さによって異なる可能性があるためです。ポリシーが適切であり、頻繁に更新する必要がないと報告することは正確ではない場合があります。ポリシーが時代遅れまたは非効果的である可能性があり、組織を不必要なリスクにさらす可能性があるためです。参考文献 = リスク評価および分析方法:
定性的および定量的 - ISACA、組織にはセキュリティリスク評価が必要ですか? - ISACA、SP 800-39、情報セキュリティリスクの管理: 組織、ミッション...

CRISC 試験問題 92

ある組織が、アプリケーションを Software as a Service (SaaS) プロバイダーにアウトソーシングしています。このサービスの使用に伴うリスクは、次の者が負う必要があります。

A. サービスプロバイダーのITマネージャー

B. サービスプロバイダーのリスクマネージャー

C. 組織のビジネスプロセスマネージャー

D. 組織のベンダーマネージャー

CRISC 試験問題 93

組織の全従業員向けの事業継続意識啓発プログラムをカバーする上で最も重要な情報はどれですか?

A. 復旧時間目標 (RTO)

B. 職務の分離

C. コミュニケーション計画

D. 重要な資産のインベントリ

正解: C

組織の全従業員を対象にしたビジネス継続性意識向上トレーニングプログラムで取り上げる最も重要な情報は、コミュニケーションプランです。コミュニケーションプランとは、ビジネス継続性イベントの前、最中、後に社内および社外の関係者とコミュニケーションをとるための役割、責任、手順、リソースを定義するドキュメントです。コミュニケーションプランは、関連性の高い正確な情報が適切な関係者にタイムリーかつ一貫した方法で提供され、フィードバックと応答が適切に受信され、対処されることを保証するのに役立ちます。また、コミュニケーションプランは、組織の信用、信頼、評判を維持し、法的または規制上の要件に準拠するのにも役立ちます。コミュニケーションプランは、ビジネス継続性意識向上トレーニングプログラムで取り上げる最も重要な情報です。これは、ビジネス継続性イベントで効果的かつ効率的にコミュニケーションをとる方法、およびビジネス継続性のパフォーマンスと回復に影響を与える可能性のあるコミュニケーションエラー、ギャップ、または競合を回避または最小限に抑える方法について従業員を準備し、教育するのに役立つためです。その他のオプションは、コミュニケーションプランほど重要ではありませんが、ビジネス継続性意識向上トレーニングプログラムで取り上げられることもあります。復旧時間目標 (RTO)、職務の分離、重要な資産の在庫はすべて、事業継続計画と実装に影響を与える可能性のある要因ですが、事業継続意識トレーニングプログラムで取り上げる最も重要な情報ではありません。参考文献 = 6

CRISC 試験問題 94

リスク担当者が IT リスクシナリオを開発する際に最も役立つ情報はどれですか。

A. ビジネスに関連する公開された脆弱性

B. イベントをトリガーできる脅威アクター

C. ビジネスに影響を及ぼす可能性のあるイベント

D. 最も大きな投資を必要とするIT資産

正解: C

IT リスクシナリオの開発:
* リスクシナリオは、潜在的な脅威とそれがビジネス運営に与える影響を説明する仮想的なイベントです。これらのシナリオは、リスクを特定して評価するために不可欠です。
潜在的影響イベントの重要性:
* ビジネスに潜在的に影響を及ぼす可能性のあるイベントは、組織の目的と業務に直接関係するため、リスクシナリオを開発するための最も有用な情報を提供します。
* これらのイベントを理解することは、リスク評価とリスク軽減の取り組みを導く現実的で適切なリスクシナリオを作成するのに役立ちます。
リスクシナリオの構成要素:
* 脅威アクター: 脆弱性を悪用する可能性のある人物を特定します。
* 脅威イベント: ビジネスに影響を及ぼす可能性のある特定のイベントについて説明します。
* ビジネスへの影響: これらのイベントがビジネス運営、財務、評判などにどのような影響を与えるかを評価します。
シナリオ開発における影響イベントの使用:
* 重要なビジネス機能を中断させる可能性のあるイベントに焦点を当てることで、シナリオが関連性があり、実行可能なものになります。
* リスク担当者は、潜在的な結果を利害関係者に効果的に伝え、それに応じて軽減努力の優先順位を付けることができます。
他の情報源との比較:
* 公開された脆弱性: 特定の脅威を理解するのに役立ちますが、ビジネスへの影響に直接関係しない可能性があります。
* 脅威の主体: 潜在的なリスク源を特定するために重要ですが、シナリオ開発にはそれだけでは不十分です。
* IT 資産: リスク評価に関連しますが、潜在的な影響イベントの理解には二次的です。
参考文献:
* CRISC レビューマニュアルでは、リスクシナリオを開発する際に、ビジネスに影響を及ぼす可能性のあるイベントを考慮することの重要性について説明しています (CRISC レビューマニュアル、第 2 章: IT リスク評価、セクション 2.4 リスクシナリオの開発)。

CRISC 試験問題 95

組織の主要ベンダーで大規模なシステム侵害が発生した後、ベンダーは追加の緩和策を実施しました。ベンダーは、次の一連の評価を自主的に共有しました。
組織の主要ベンダーで大規模なシステム侵害が発生した後、ベンダーは追加の緩和策を実施しました。ベンダーは、次の一連の評価を自主的に共有しました。
ベンダーの制御環境における残留リスクを評価するために最も信頼性の高い入力を提供する評価はどれですか?

A. ベンダーパフォーマンススコアカード

B. 内部監査

C. 規制検査

D. 外部監査

他のバージョン: 2215ISACA.CRISC.v2024-10-23.q999; 1005ISACA.CRISC.v2024-07-31.q668; 3214ISACA.CRISC.v2023-07-03.q712; 5611ISACA.CRISC.v2022-10-19.q897

最新アップロード: 104SAP.C-C4H56I-34.v2025-09-08.q74; 134Salesforce.Agentforce-Specialist.v2025-09-08.q82; 104Salesforce.Public-Sector-Solutions.v2025-09-08.q93; 104Fortinet.FCP_FAZ_AD-7.4.v2025-09-08.q75; 103SAP.C-S4TM-2023.v2025-09-08.q86; 137SAP.C-TS412-2021.v2025-09-06.q90; 177Microsoft.MB-700.v2025-09-06.q281; 153Docker.DCA.v2025-09-06.q175; 119SAP.C-BCFIN-2502.v2025-09-05.q12; 135Avaya.77201X.v2025-09-05.q58

CRISC 試験問題 91

CRISC 試験問題 92

CRISC 試験問題 93

CRISC 試験問題 94

CRISC 試験問題 95

PDFファイルをダウンロード