問題一覧
1
A2-1.組織で従業員に毎年強制休暇を義務付けている主な理由は、次のどれを保証したいためであるか。
C.一時的な人員交換により、処理における潜在的な不正行為が特定されること。
2
A2-2.情報システム監査人がITポリシーを確認している際、その一部が幹部によって承認(ポリシーによって義務づけられている)されていないことを発見したが、従業員はこのポリシーを厳格に守っている。情報システム監査人が最初に何をすべきか。
D.文書化された承認の欠如を報告する。
3
A2-3.ITプロジェクトおよびプログラム管理の優先順位決定および調整のレビューにおいて、情報システム監査人の主な考慮事項は何か?
A.プロジェクトを組織の戦略と整合させること
4
A2-4.組織の人事ポリシーおよび手順のレビューにおいて、情報システム監査人は次のどれの欠如に最も懸念すべきか。
C.退職チェックリスト
5
A2-5.ITガバナンス実施の有効性の評価において、最も重要な要素を次の中から選びなさい。
B.利害関係者の要件およびその関与を判断する。
6
A2-6.IT従業員の副業に関する条件を定めるポリシーを導入する最大の理由は次のどれか?
B.利益相反を防ぐため
7
A2-7.情報システム監査人が組織の情報セキュリティポリシーのレピューを担当することになった。最大の潜在的リスクとなるのは次のどの問題か?
C.ポリシーがセキュリティ管理者によって承認されている。
8
A2-8.ビジネス・プロセス・リエンジニアリング(BPR)の取り組みのレビューの実施において、主な懸念事項となるのは次のどれか?
A.コントロールが、BPRの取り組みを効率化する一環として排除されている。
9
A2-9.組織内に存在するITガバナンスフレームワークおよびITリスク管理実施を監査している際に、情報システム監査人がIT管理およびガバナンスの役割に関する未定義の責任を複数発見した。最も適切な推奨事項を次の中から選びなさい。
B.組織内に説明責任のルールを導入する。
10
A2-10.情報システム監査人が組織のソフトウェア品質管理プロセスをレビューしている。最初のステップは次のどれか?
D.組織によって採用されているすべての基準を要求する。
11
A2-11.情報システム監査人は、組織が最近採用したエンタープライズアーキテクチャ(EA)が現状を適切に表していることに気付いた。しかし、この組織は将来像を開発するために別のプロジェクトを開始した。情報システム監査人が行うべきことを次の中から選びなさい。
B.この問題を監査結果として監査報告書に記載する。
12
A2-12.情報システム監査人は、経営陣の情報システムのリスクアセスメントを評価している。情報システム監査人が最初にレビューすべきものは次のどれか?
D.資産に影響を及ぼす脅威/脆弱性
13
A2-13.エンタープライズ・アーキテクチャ・イニシアチブの主な利点を次から選びなさい。
A.組織が最も適切な技術に投資を行うことができる。
14
A2-14.ソフトウェアのエスクロー契約は次のどの状況において適切であるか。
C.カスタムメイドのソフトウェアのベンダーが倒産した。
15
A2-15.情報システム監査人が組織図をレビューする主な理由は次のどれか?
C.個人の責任および権限を把握するため。
16
A2-16.リスクの共有が重要な要素となるのは、次のリスク管理方法のどれか?
A.リスクの移転
17
A2-17.リスク分析を行っているチームは、リスクから生じ得る財務上の損失の予測に苦闘している。潜在的な影響を評価するには、チームは次のどれを行うべきか。
C.定性的アプローチを適用する
18
A2-18.品質管理システムのレビューにおいて、情報システム監査人が主に焦点を当てるべき証拠収集の分野は次のどれか?
B.継続的向上の対象が監視されていること
19
A2-19.情報システム監査人は、運営委員会によって承認を受けることなく実施されているITベースのプロジェクトがあることに気付いた。情報システム監査人にとって最大の問題となるのは何か?
D.IT部門が共通の目標に向かって業務を進めていないこと
20
A2-20.ITからピジネスへの価値提供を最も効果的にするために行うべきことを次の中から選びなさい。
A.IT戦略を企業戦略に合わせる
21
A2-21.IT処理の外部委託におけるフィージビリティ・スタディ(実現性検証)中に、情報システム監査人がベンダーの業務継続計画をレビューする必要があるのは、次のどの理由によるものか?
A.不測の事態にベンダーが提供できるサービスレベルの妥当性を評価するため。
22
A2-22.情報システム監査人は、新しく策定された組織のITポリシーを評価している。導入時にポリシーの遵守を促進するため、情報システム監査人が最も重要とみなすべき要素は次のどれか?
A.遵守を可能にするITメカニズムの存在
23
A2-23.上級経営者がIT戦略計画へ関与しないことで、最も起こる確率が高いことは次のどれか?
C.技術が組織の目的に沿わない
24
A2-24.次のどれがIT運営委員会の機能であるか。
C.IT計画および予算の承認および状況のモニタリング
25
A2-25.情報システム監査人はある組織のガバナンスモデルのレビューを行っている。監査人が最も懸念すべき事項は次のどれか?
A.情報セキュリティポリシーが上級経営者によって定期的にレビューされていない。
26
A2-26.上級経営者の関与は次のどの開発に対して最も重要であるか。
A.戦略計画
27
A2-27.効率的なITガバナンスは、IT計画が組織の次のどの要素と足並みをそろえることを保証するか。
A.事業計画
28
A2-28.許容できるレベルのリスクを設定する責任を負うのは次の誰であるか。
B.上級事業部門責任者
29
A2-29.ITガバナンスの主な責任者は誰であるか。
B.取締役会
30
A2-30.コントロールの観点から、職務記述書の重要な要素とは次のどれか?
D.従業員の職責および説明責任を確立する。
31
A2-31.新しいスタッフの健全性を最も適切に保証するものは次のどれか?
A.身元調査
32
A2-32.従業員が解雇された場合において取るべき最も重要な行動は次のどれか?
D.従業員の論理的アクセスを無効にする。
33
A2-33.ビジネスユニットにより新しい会計アプリケーションが選択されたが、選択プロセスの初期段階においてIT部門への問い合わせは行われなかった。この場合の主なリスクとなるのは次のどれか?
C.アプリケーション技術がエンタープライズアーキテクチャと矛盾する可能性がある。
34
A2-34.多くの組織が従業員に1週間以上の強制休暇(休み)を義務付けている主な理由は次のどれか?
B.従業員が不適切または違法行動を取る機会を減らすため。
35
A2-35.通常、ローカルエリアネットワーク(LAN)の管理者は、次のどの責任の請負を禁じられているか。
C.プログラミングの責任を負うこと。
36
A2-36.意思決定支援システムは、上級経営者が次のどれを行うことに対して役に立つか。
C.データ分析およびインタラクティブモデルに基づいた意思決定。
37
A2-37.監査において、情報システム監査人は、人事部門がクラウドペースのアプリケーションを使用して従業員記録を管理していることに気付いた。人事部門は、通常のベンダー管理プロセス外の契約を行っており、独自にアプリケーションを管理している。最も懸念すべきことを次の中から選びなさい。
D.組織定義によるセキュリティポリシーがクラウドアプリケーションに適用されていない。
38
A2-38.ITバランス・スコアカードを導入する前に組織が行うべき行動は次のどれか?
B.重要業績評価指標(KPI)を定義する。
39
A2-39.組織の目標をサポートするためには、IT部門は次のどれを策定するべきか。
B.長期的および短期的計画
40
A2-40.IT短期(戦術)計画のレビュー中に、情報システム監査人は次のどれを確認すべきか。
A.プロジェクト内でITおよびビジネス要員が統合されている。
41
A2-41.IT部門の短期計画において、情報システム監査人が最も関連性が高いと考慮すべき事項は次のどれか?
A.リソースの割り当て
42
A2-42.組織の戦略計画に次のどの目標が含まれていると予想されるか。
D.会社によって提供される製品の認定サプライヤ
43
A2-43.組織のIT戦略の評価において、情報システム監査人が考慮すべき最も重要な事項は次のどれか?戦略が:
D.組織のビジネス目標をサポートしている。
44
A2-44.ある組織が電子料金収受システム(ETCS)のターンキーソリューションのためにベンダーと契約した。ベンダーはソリューションの一環として自身で所有権を持つアプリケーションソフトウェアを提供した。契約では次のどれを義務付けるべきか。
D.ETCSアプリケーションのソースコードがエスクロー(第三者)に保管されること。
45
A2-45.IT戦略をレビューする際に、戦略が組織のビジネス目標を支援するかどうかを情報システム監査人が評価するにあたり、一番役に立ちそうな事項は次のどれか?
B.IT計画は経営戦略に整合している。
46
A2-46.大規模組織の情報システム監査人がIT機能の役割と責任をレビューしていたところ、数名が複数の役割を担っていることに気付いた。情報システム監査人が最大の関心を抱くべきなのは、次のどの兼任か?
B.システム管理者がアプリケーション・プログラマーを兼ねていること。
47
A2-47.データおよびシステムのオーナーシップポリシーを不適切に定義する場合、最大のリスクは次のどれか?
C.権限のないユーザーにデータの編集権限を与える可能性がある。
48
A2-48.情報システム監査部門は、短期雇用従業員のリスクを最小限に抑える計画を立てている。この目標に貢献するのは、手順の文書化、知識共有、クロストレーニングであるが、もう1つを次から選択しなさい。
A.後継者育成
49
A2-49.技術における変化率は、次のどの要素の重要性を高めるか。
B.正しいプロセスを導入し実施すること
50
A2-50.情報システム監査人は、すべての従業員が企業の情報セキュリティポリシーを知っていないことに気付いた。情報システム監査人の下すべき結論を次の中から選びなさい。
A.この知識不足は、機密情報の意図しない開示につながりかねない。
51
A2-51.情報セキュリティポリシーの承認責任を負うのは次の誰か?
D.取締役会
52
A2-52.組織のITガバナンスプロセスをレビューしている際に、情報システム監査人は、企業が最近ITバランス・スコアカード(BSC)を導入したことに気付いた。導入は完了しているが、情報システム監査人はパフォーマンス指標が客観的に測定可能ではないことに気付いた。このような状況で提示される主なリスクは次のどれか?
C.ITパフォーマンスのミスリードを招くような指標が経営陣に提示される可能性がある。
53
A2-53.組織の情報セキュリティポリシーに含めなければならないのは次のどれか?
B.アクセス・コントロールの承認基準
54
A2-54.ファイアウォールポリシーの作成の最初のステップは次のどれか?
B.外部からアクセスされるネットワークアプリケーションの識別
55
A2-55.意思決定支援システムのプロセスにおける導入リスクは次のどれか?
C.目的および用例の指定不能
56
A2-56.セキュリティポリシーの導入および維持の成功に最も重要な要素は次のどれか?
A.すべての適切な当事者により文書化されたセキュリティポリシーのフレームワークおよび趣旨を理解すること
57
A2-57.包括的かつ効率的な電子メールポリシーが対処する問題は、電子メール構造、ポリシー執行、モニタリングであるが、もう1つを次から選択しなさい。
B.保存
58
A2-58.ある組織は、技術のアップグレードのため重要な投資を行うことを検討している。考慮すべき最も重要な要素は次のどれか?
D.リスク分析
59
A2-59.運営委員会にIT投資の監督を義務付ける主な利点を次の中から選びなさい。
B.投資がビジネス要件に従って行われるようにすること
60
A2-60.情報システムコントロール目標は、次のどの事項を理解するための基盤を提供するため情報システム監査人にとって有用であるか。
A.特定のコントロール手順の導入における望まれる結果または目的
61
A2-61.情報セキュリティプログラムを確立する最初のステップとは次のどれか?
C.企業の情報セキュリティポリシー声明の採択
62
A2-63.ある組織が外部業者のアプリケーションを購入し、大幅な変更を実施した。この重要な顧客向けアプリケーションの開発プロセスを監査中、情報システム監査人はベンダーが事業を始めてから1年しか経っていないことに気付いた。アプリケーションの継続的なサポートに関するリスクを軽減するのに役立つものを次の中から選びなさい。
B.ソフトウェアのエスクロー契約
63
A2-62.サービスが外部委託されたとき、ITマネージャーが実行するべき最も重要な機能は次のどれか?
D.外部委託先プロバイダーのパフォーマンスを監視する
64
A2-64.IT施設の外部委託契約をレビューしている情報システム監査人は、契約の中にどの事項が定義されていることを予期できるか。
C.知的財産の所有権
65
A2-65.サービスプロバイダーの監査を行っている際に情報システム監査人は、サービスプロバイダーが仕事の一部を別のプロバイダーに外部委託したことに気付いた。仕事に機密情報が含まれているため、情報システム監査人の主な懸念事項は次のどれか?
A.情報を保護するためのセキュリティへの要請が侵害されてしまう。
66
A2-66.オープンシステム・アーキテクチャの利点は次のどれか?
A.異なるシステム内で相互運用性を容易にする。
67
A2-67.電子証拠収集に関するリスクは、電子メールポリシーにより軽減されるが、可能性が最も高いのは次のどれか?
C.アーカイブポリシー
68
A2-68.リスクマネジメントプロセスのアウトプットは次のどれを作成するインプットであるか。
C.セキュリティポリシーの意思決定
69
A2-69.情報システム監査人がeビジネスのセキュリティをレビューするために雇用された。情報システム監査人の最初のタスクは既存のeビジネスアプリケーションを調べ、脆弱性を探すことである。次のタスクを選択せよ。
C.脅威や発生の可能性を識別する。
70
A2-70.IT組織をレビューしている情報システム監査人は、IT運営委員会が次のどの行動を行っている場合に最も懸念するか。
D.ビジネス目標の決定を担当している。
71
A2-71.情報システム監査人は、データセンターサービスの利用が検討されているベンダーとの契約のレビューを行うよう依頼された。契約の締結後、契約条項が遵守されているかどうかを判断する最適な方法は以下のうちどれか?
C.ベンダーの定期監査レビューを実施する。
72
A2-72.戦略的ITイニシアチプ意思決定プロセスに最も大きな付加価値となる情報は以下のうちどれか?
D.ITプロジェクトのポートフォリオ分析
73
A2-73.適切なコントロールの欠如によって引き起こされるものを次の中から選びなさい。
D.脆弱性
74
A2-74.ITパフォーマンスの測定の主な目的は次のどれか?
D.パフォーマンスの最適化
75
A2-75.情報セキュリティのガバナンスの結果として、戦略的整合は次のどれを提供するか。
A.事業体の要件によって促進されるセキュリティ要件
76
A2-76.情報システム監査人にとって情報セキュリティポリシーをレビューする際の最大の懸念事項は次のどれか。ポリシーが:
A.IT部門の目的に基づいて促進されている。
77
A2-77.次のどのITガバナンスの優れた実践手法によって、戦略的整合性が高められるか。
D.経営陣がビジネスおよびテクノロジーの緊急課題を調整する。
78
A2-78.効果的なITガバナンスには、次のどれを確保するために組織構造およびプロセスが必要となるか。
D.IT戦略は組織の戦略および目的を拡張する。
79
A2-79.ITリスクの評価の最も効率の良い達成方法とは次のどれか?
A.既存のIT資産およびITプロジェクトに関連する脅威および脆弱性を評価する。
80
A2-80.ITサポートのスタッフおよびエンドユーザー間で職務の分離に関する懸念が存任する場合、進切な補完的コントロールは次のどれか?
B.トランザクションおよびアプリケーションのログをレビューする
81
A2-81.運用ポリシーの整備に当たり、トップダウン方式は次のどれを確保するのに役立つか。
A.ポリシーが組織全体で一貫していること
82
A2-82.クロストレーニングしている組織をレビューしている情報システム監査人は次のどのリスクを評価すべきか。
C.1人の人物がシステムの全部を知り尽くしていること
83
A2-83.外部ITサービスプロバイダーの管理をレビューしている情報システム監査人の主な懸念事項は次のどれか?
D.サービスが契約通りに提供されているか確かめること
84
A2-84.顧客データウェアハウスの業務を海外運用に外部委託するのではなく、組織内に留めておくべきであることを最も示す事項は次のどれか?
C.プライバシー法により情報の国境を越えた共有が妨げられてしまいかねない。
85
A2-85.組織の承認されたソフトウェア製品の一覧をレビューする際、確認すべき最も重要な事項は次のどれか?
A.製品の使用に関連するリスクが定期的に評価されていること
86
A2-86.情報セキュリティポリシーの策定をレビューする際、これらのポリシーが次のどれを保証することに情報システム監査人が主な焦点を当てるべきか。
C.ポリシーが事業要件とセキュリティ要件との間のバランスを取っている。
87
A2-87.情報資産の適切な保護レベルを判定する際、情報システム監査人が主に焦点を当てるべき要素を次の中から選びなさい。
A.リスクアセスメントの結果
88
A2-88.ITガバナンスの観点から見た場合、取締役会の主な責任となるのはどれか?IT戦略を以下のようにすること:
C.ビジネス戦略と整合している
89
A2-89.ITガバナンスの導入の成功における最も重要な要素は次のどれか?
B.組織戦略の識別
90
A2-90.経営陣がITおよびビジネスの整合を達成することを支援するために情報システム監査人は次のどれの使用を推奨すべきか。
C.ITバランス・スコアカード
91
A2-91.重要なITセキュリティサービスに対するサービス内容合意書の要件を満たすベンダーの能力を情報システム監査人が判定する際の最良の参照資料を次の中から選びなさい。
B.合意された主要パフォーマンス指標
92
A2-92.運用要員の日々のバックアップ不履行のリスクに対処するために、経営陣はシステム管理者が日々のバックアップを承認することを義務付けている。これは次のどれに当てはまるか。
C.リスク軽減
93
A2-93.不適切なパスワードの選択および保護されていない通信ルートでの暗号化されていないデータ送信は次のどの事例であるか。
A.脆弱性
94
A2-94.情報システム監査人は最近様々なプロバイダに外部委託されたIT構造およびアクティビティをレビューするよう命じられた。情報システム監査人が最初に判断すべきことは次のどれか?
C.プロバイダの契約上の保証は、組織のビジネス要件を支援すること。
95
A2-95.組織のIT資産への投資の計画および管理の効果を理解するために、情報システム監査人は次のどれをレビューするべきか。
B.ITバランス・スコアカード
96
A2-96.ITサービスの外務委託に関して、情報システム監査人の最大の懸念事項は次のどれか。
A.組織に差別化された優位性をもたらす、コア事業を外部委託すること
97
A2-97.ヘルスケア組織にとって、患者の保険に関するデータウェアハウスの業務を海外運用に外部委託するのではなく、組織内にとどめ置くべきであることを示す最も妥当な理由は次のどれか?
A.データプライバシーに関する規制がある。
98
A2-98.強制休暇または仕事のローテーションにおけるコントロールの主な目的は次のどれか?
C.従業員の不正または違法行動を検出することができる。
99
A2-99.IT戦略計画プロセスのレビュー中に情報システム監査人は計画に関する次のどの事項を保証するべきか。
C.計画がITのミッションおよびビジョンを明確に述べている。
100
A2-100.ある小規模組織にはデータベース管理者(DBA)が1人とシステム管理者が1人しかいない。DBAは、データベースアプリケーションをホストするUNIXサーバーへのルートアクセス権を持っている。この場合、職務の分離をどのように強制するべきか。
D.データベースのログが、データベース管理者がルートアクセス権を持っていないUNIXサーバーに転送されることを保証する。