暗記メーカー

暗記メーカー

ログイン
ISC2(ドメイン6)
35問 • 1年前
  • エッグスンシングス
    • 通報

    問題一覧

  • 1

    内部評価中に実行される 4 つのステップのうち、どれではないですか?

    修正

  • 2

    ある多国籍企業は、特定の業界標準への準拠を評価するために、今後の外部監査を計画しています。    ベストプラクティスに沿って、監査の有効性と関連性を確保するために、企業の統治機関が優先すべきアクションは次のどれですか。 

    監査憲章の制定、監査の範囲と目的の定義、外部監査組織との調整

  • 3

    あなたは、新しいモバイル バンキング アプリケーションを開発しているチームの主任セキュリティ アナリストです。アプリケーションのセキュリティを強化するために、誤用ケース テストを導入することにしました。    アプリケーションを評価する上で最も効果的なアプローチは次のどれですか?

    侵入テストを実行して攻撃をシミュレートし、アプリケーションの脆弱性を特定する

  • 4

    次のテストのうち、システムが組織の定義した標準を満たしているかどうかを検証するために設計されたものはどれですか?

    コンプライアンス

  • 5

    米国政府機関とその多くの請負業者は、監査と制御評価を実行するための標準として NIST リスク管理フレームワーク (RMF) を使用しています。    RMF について詳述している NIST 特別出版物 (SP) はどれですか?

    800-37 R2

  • 6

    対象環境の潜在的な範囲を特定するために使用される倫理的侵入テスト活動は次のどれですか?

    発見

  • 7

    どのタイプのテストの方がより高い保証を提供しますか?

    Substantive

  • 8

    サプライ チェーンの障害は、あらゆる組織の業務に壊滅的な打撃を与える可能性があります。安全で安心なサプライ チェーンを確保するために必要な推進プロセスは何でしょうか。

    リスクを特定する

  • 9

    財務およびアカウント業務の徹底したログレビューの必要性を促す規制は何ですか?

    SOX

  • 10

    敵が不正アクセスを試みているかのようにシステムのセキュリティ状態をテストするという説明に最も適したテストのタイプはどれですか?

    ペネトレーション

  • 11

    主要リスク指標 (KRI) に関して正しい記述はどれですか?

    KRIは新たなリスクを監視する

  • 12

    データ セキュリティの観点から、サードパーティ監査が外部サプライヤー、ベンダー、パートナーにとって重要なリスク管理ツールと見なされるのはなぜですか?

    実施されているリスク軽減策の有効性を評価し、第三者に関連するリスクを特定します

  • 13

    電子メールによるアドバイス、オンラインの IT セキュリティに関する毎日のニュース Web サイト、定期刊行物、会議、セミナー、コースはすべて、何に最適な優れた情報源でしょうか。

    啓発プログラム

  • 14

    組織のセキュリティ評価およびテスト計画に内部テストと外部テストの両方が含まれている場合、テストはどのような順序で実行する必要がありますか?

    外部テストは常に最初に実行する必要があります

  • 15

    境界防御を突破した攻撃者の身元を想定することを目的としたテストの種類はどれですか?

    Internal

  • 16

    ビジネス継続計画 (BCP) の目的を理解することが重要です。BCP は、サポート モジュールがあるからこそ機能する包括的な計画であると考えることができます。インシデント対応と災害復旧は、これらのモジュールの 2 つにすぎません。 そのためには、組織がこれらの状況がどのようなものかを理解する必要があります。  組織内の誰が災害を軽減し、リスクを特定する必要がありますか?

    組織内のすべての個人

  • 17

    事業継続性/災害復旧 (BCDR) テスト プログラムを検討する場合、建物火災避難はどのような形式のテストになりますか? 

    ウォークスルー

  • 18

    ビジネス継続計画 (BCP) の目的を理解することが重要です。BCP は、サポート モジュールがあるからこそ機能する包括的な計画であると考えることができます。インシデント対応と災害復旧は、これらのモジュールの 2 つにすぎません。 そのためには、組織がこれらの状況がどのようなものかを理解する必要があります。 組織内の誰が災害を宣言できるでしょうか。

    事前に指定されたスタッフのみ

  • 19

    さまざまな状況で起こり得るアプリケーションクラッシュを検出するために使用されるテストの種類は何ですか?

    ネガティブ テスト

  • 20

    組織のシステムに関する情報がほとんどまたは全くない状態で、悪意のある人物によって公開される可能性のある脆弱性を組織に通知するには、どのタイプのテストが適していますか?

    External

  • 21

    「ライブ」アクションではなくスクリプトの使用に依存する Web アプリケーション テストの種類は何ですか?

    合成

  • 22

    組織の Web サイト、サービス、またはアプリケーションの可用性を測定する合成パフォーマンス監視の種類は何ですか?

    TCPポート監視

  • 23

    ウェブサイトまたはアプリケーションのすべてのユーザーのすべてのトランザクションをキャプチャして分析することを目的としたウェブ監視のアプローチはどのタイプの監視ですか?

    リアル ユーザー

  • 24

    あなたの組織では、プライベート クラウド経由で消費される Security-as-a-Service (SECaaS) ソフトウェアを開発しています。市場にツールをリリースする際にアジャイルな規律を実践する 50 人の開発者を雇用しています。 あなたの会社ではまだ知られていない追加のクライアントを引き付けるのに役立つ SOC レポートは何でしょうか。

    SOC3

  • 25

    SOC 2 (Service Organization Control 2) フレームワークでは、5 つの信頼サービス基準が定義されています。    次のどれが該当しないでしょうか?

    認証

  • 26

    ISO 27001:2013 管理項目 12.4.2 では、ログ記録に関して次のどれが指定されていますか?

    その施設とログ情報は保護されなければならない

  • 27

    次の構造カバレッジ タイプのうち、プログラム決定における条件の可能なすべての組み合わせを実行するのに十分なテスト ケースを必要とするものはどれですか。

    複数条件カバレッジ

  • 28

    チャーターは、内部評価中に実行されるステップの 1 つです。    次のアクティビティのうち、チャーター プロセスの一部ではないものはどれですか。

    ソリューションのカスタマイズ

  • 29

    POA&Mとは何ですか?

    行動計画とマイルストーン

  • 30

    テストは一般に、コンプライアンス テストまたは______ テストのいずれかに分類されます。

    Substantive

  • 31

    監査の結果は、一連の調査結果として正式に報告されます。    監査対象者の活動またはパフォーマンスを測定するために使用される基準を定義するのはどの調査結果ですか?

    基準

  • 32

    計画-実行-確認-改善モデルのどのフェーズで、失敗の根本原因が特定され、リスクが再評価され、将来の変更のパフォーマンスを測定するためのベースラインが決定されますか?

    Act

  • 33

    英国国立サイバーセキュリティセンターによって作成された業界または地域固有の標準は何ですか?

    Cyber Essentials

  • 34

    タイプ I とタイプ II の SOC レポートの違いは何ですか?

    タイプIは制御設計に関係し、タイプIIは制御の有効性に関係する。

  • 35

    あなたの組織では、プライベート クラウド経由で消費される Security-as-a-Service (SECaaS) ソフトウェアを開発しています。市場にツールをリリースする際にアジャイルな規律を実践する 50 人の開発者を雇用しています。    潜在顧客は、サービスを購入する目的で組織にアプローチします。潜在  顧客は、契約に同意する前に、組織に対して、運用効率に対するリスクが適切に抑制または軽減され、サービスが変更されることなく作成されたときと同じ運用可能な形式で提供されるという、可能な限り最高レベルの保証が必要であることを伝えます。    50 人の開発者からなるあなたの部門が、利用したい SECaaS を継続的にサポートするために適切な報酬とインセンティブを受けられる可能性を潜在的なクライアントが理解するには、どのようなレポートを検討すればよいでしょうか。

    SOC 2 タイプ 2

    • 問題一覧

  • 1

    内部評価中に実行される 4 つのステップのうち、どれではないですか?

    修正

  • 2

    ある多国籍企業は、特定の業界標準への準拠を評価するために、今後の外部監査を計画しています。    ベストプラクティスに沿って、監査の有効性と関連性を確保するために、企業の統治機関が優先すべきアクションは次のどれですか。 

    監査憲章の制定、監査の範囲と目的の定義、外部監査組織との調整

  • 3

    あなたは、新しいモバイル バンキング アプリケーションを開発しているチームの主任セキュリティ アナリストです。アプリケーションのセキュリティを強化するために、誤用ケース テストを導入することにしました。    アプリケーションを評価する上で最も効果的なアプローチは次のどれですか?

    侵入テストを実行して攻撃をシミュレートし、アプリケーションの脆弱性を特定する

  • 4

    次のテストのうち、システムが組織の定義した標準を満たしているかどうかを検証するために設計されたものはどれですか?

    コンプライアンス

  • 5

    米国政府機関とその多くの請負業者は、監査と制御評価を実行するための標準として NIST リスク管理フレームワーク (RMF) を使用しています。    RMF について詳述している NIST 特別出版物 (SP) はどれですか?

    800-37 R2

  • 6

    対象環境の潜在的な範囲を特定するために使用される倫理的侵入テスト活動は次のどれですか?

    発見

  • 7

    どのタイプのテストの方がより高い保証を提供しますか?

    Substantive

  • 8

    サプライ チェーンの障害は、あらゆる組織の業務に壊滅的な打撃を与える可能性があります。安全で安心なサプライ チェーンを確保するために必要な推進プロセスは何でしょうか。

    リスクを特定する

  • 9

    財務およびアカウント業務の徹底したログレビューの必要性を促す規制は何ですか?

    SOX

  • 10

    敵が不正アクセスを試みているかのようにシステムのセキュリティ状態をテストするという説明に最も適したテストのタイプはどれですか?

    ペネトレーション

  • 11

    主要リスク指標 (KRI) に関して正しい記述はどれですか?

    KRIは新たなリスクを監視する

  • 12

    データ セキュリティの観点から、サードパーティ監査が外部サプライヤー、ベンダー、パートナーにとって重要なリスク管理ツールと見なされるのはなぜですか?

    実施されているリスク軽減策の有効性を評価し、第三者に関連するリスクを特定します

  • 13

    電子メールによるアドバイス、オンラインの IT セキュリティに関する毎日のニュース Web サイト、定期刊行物、会議、セミナー、コースはすべて、何に最適な優れた情報源でしょうか。

    啓発プログラム

  • 14

    組織のセキュリティ評価およびテスト計画に内部テストと外部テストの両方が含まれている場合、テストはどのような順序で実行する必要がありますか?

    外部テストは常に最初に実行する必要があります

  • 15

    境界防御を突破した攻撃者の身元を想定することを目的としたテストの種類はどれですか?

    Internal

  • 16

    ビジネス継続計画 (BCP) の目的を理解することが重要です。BCP は、サポート モジュールがあるからこそ機能する包括的な計画であると考えることができます。インシデント対応と災害復旧は、これらのモジュールの 2 つにすぎません。 そのためには、組織がこれらの状況がどのようなものかを理解する必要があります。  組織内の誰が災害を軽減し、リスクを特定する必要がありますか?

    組織内のすべての個人

  • 17

    事業継続性/災害復旧 (BCDR) テスト プログラムを検討する場合、建物火災避難はどのような形式のテストになりますか? 

    ウォークスルー

  • 18

    ビジネス継続計画 (BCP) の目的を理解することが重要です。BCP は、サポート モジュールがあるからこそ機能する包括的な計画であると考えることができます。インシデント対応と災害復旧は、これらのモジュールの 2 つにすぎません。 そのためには、組織がこれらの状況がどのようなものかを理解する必要があります。 組織内の誰が災害を宣言できるでしょうか。

    事前に指定されたスタッフのみ

  • 19

    さまざまな状況で起こり得るアプリケーションクラッシュを検出するために使用されるテストの種類は何ですか?

    ネガティブ テスト

  • 20

    組織のシステムに関する情報がほとんどまたは全くない状態で、悪意のある人物によって公開される可能性のある脆弱性を組織に通知するには、どのタイプのテストが適していますか?

    External

  • 21

    「ライブ」アクションではなくスクリプトの使用に依存する Web アプリケーション テストの種類は何ですか?

    合成

  • 22

    組織の Web サイト、サービス、またはアプリケーションの可用性を測定する合成パフォーマンス監視の種類は何ですか?

    TCPポート監視

  • 23

    ウェブサイトまたはアプリケーションのすべてのユーザーのすべてのトランザクションをキャプチャして分析することを目的としたウェブ監視のアプローチはどのタイプの監視ですか?

    リアル ユーザー

  • 24

    あなたの組織では、プライベート クラウド経由で消費される Security-as-a-Service (SECaaS) ソフトウェアを開発しています。市場にツールをリリースする際にアジャイルな規律を実践する 50 人の開発者を雇用しています。 あなたの会社ではまだ知られていない追加のクライアントを引き付けるのに役立つ SOC レポートは何でしょうか。

    SOC3

  • 25

    SOC 2 (Service Organization Control 2) フレームワークでは、5 つの信頼サービス基準が定義されています。    次のどれが該当しないでしょうか?

    認証

  • 26

    ISO 27001:2013 管理項目 12.4.2 では、ログ記録に関して次のどれが指定されていますか?

    その施設とログ情報は保護されなければならない

  • 27

    次の構造カバレッジ タイプのうち、プログラム決定における条件の可能なすべての組み合わせを実行するのに十分なテスト ケースを必要とするものはどれですか。

    複数条件カバレッジ

  • 28

    チャーターは、内部評価中に実行されるステップの 1 つです。    次のアクティビティのうち、チャーター プロセスの一部ではないものはどれですか。

    ソリューションのカスタマイズ

  • 29

    POA&Mとは何ですか?

    行動計画とマイルストーン

  • 30

    テストは一般に、コンプライアンス テストまたは______ テストのいずれかに分類されます。

    Substantive

  • 31

    監査の結果は、一連の調査結果として正式に報告されます。    監査対象者の活動またはパフォーマンスを測定するために使用される基準を定義するのはどの調査結果ですか?

    基準

  • 32

    計画-実行-確認-改善モデルのどのフェーズで、失敗の根本原因が特定され、リスクが再評価され、将来の変更のパフォーマンスを測定するためのベースラインが決定されますか?

    Act

  • 33

    英国国立サイバーセキュリティセンターによって作成された業界または地域固有の標準は何ですか?

    Cyber Essentials

  • 34

    タイプ I とタイプ II の SOC レポートの違いは何ですか?

    タイプIは制御設計に関係し、タイプIIは制御の有効性に関係する。

  • 35

    あなたの組織では、プライベート クラウド経由で消費される Security-as-a-Service (SECaaS) ソフトウェアを開発しています。市場にツールをリリースする際にアジャイルな規律を実践する 50 人の開発者を雇用しています。    潜在顧客は、サービスを購入する目的で組織にアプローチします。潜在  顧客は、契約に同意する前に、組織に対して、運用効率に対するリスクが適切に抑制または軽減され、サービスが変更されることなく作成されたときと同じ運用可能な形式で提供されるという、可能な限り最高レベルの保証が必要であることを伝えます。    50 人の開発者からなるあなたの部門が、利用したい SECaaS を継続的にサポートするために適切な報酬とインセンティブを受けられる可能性を潜在的なクライアントが理解するには、どのようなレポートを検討すればよいでしょうか。

    SOC 2 タイプ 2