101.提案されたシステムの変更が既存のセキュリティ標準に違反する場合、矛盾を解決する最善策は:

102.ウェブベースのアプリケーションシステムの内部レビューにより、URLアカウントへのアクセスに用いられる従業員IDを変更することで、全従業員のアカウントへのアクセス権を取得できることが発見された。 　　特定された脆弱性は:

103.新しいベンダーの脆弱性を特定する際、最も費用のかからない方法は何か?

104.連結されたシステムの脆弱性チェーンから派生する集積リスクを評価する際、最良の方法は次のうちどれか?

105.ある事業体は、類似技術を使用している別の事業体でセキュリティ侵害が発生したことを耳にした。 　　情報セキュリティマネージャーが最初にすべきことは:

106.パブリッククラウドコンピューティング技術を業務に導入する場合、次のうちどの状況が主に懸念されるか?

107.リスク評価の第一の成果は何か?

108.精度を高めるため、リスク評価の主観的性質を考慮に入れる際に最も重要な行動は次のうちどれか?

109.密接に統合されたITシステムが最も影響を受けやすいのは:

110.ソフトウェア開発事業体にとって、セキュリティリスク評価の費用対効果が最も高いのは、リスク評価をいつ実施する場合か?

111.事業体の現行のリスク選好度を最も定量的に示す要素は、次のうちどれか?

112.予想最大損失額の使用用途は:

113.変更管理プロセスに効果的な脅威および脆弱性評価を取り入れる場合、最も重要な理由は次のうちどれか?

114.分散型サービス拒否攻撃(DDoS)の結果として、事業体が重大な業務中断に悩まされる場合、どのリスクと分類されるか?

115.通常、最も多く推測を伴うのは、リスク評価のどの要素であるか?

116.コントロールの強度を下げるのに最も適切なのは、どのような状況か?

117.ライフサイクルの各段階でリスクに対処するための最善のサポート手段は:

118.プロジェクトライフサイクルの最初の段階で情報セキュリティを考慮すべき第一の理由は:

119.最高情報セキュリティ責任者(CISO)は、事業体の情報システムを保護するために複数の情報セキュリティコントロール(ウイルス対策など)を提案した。 　　以下のリスク処理オプションのうち、CISOはどれを推奨しているか?

120.事業体の情報セキュリティポリシーでは、すべての機密情報が外部と通信する際に暗号化されることを要求している。 　　規制当局はコンプライアンス報告を暗号化せずに送信せよと主張している。情報セキュリティマネージャーは:

121.現存するリスクレベルを評価する最適なプロセスは:

122.提案されたコントロールで費用便益分析が実行される目的は:

123.オンライン環境での攻撃の進化する性質を最も良く表すのは、次のうちどれか?

124.情報セキュリティマネージャーは、規制コンプライアンス要件をどのような位置付けで取り扱うべきか?

125.経営者は最近適用された規制に事業体として準拠しないことを決定した。 　　決定の理由として最も可能性が高いものは、次のうちどれか?

126.コントロールのベースラインが最も直接関連するのは:

127.経営者がリスク選好度を超えるリスクを軽減しないことを選択する可能性が最も高い理由は:

128.事業体における受容可能なリスクレベルを判断する上で、次の中でどれが最も適切な指標か?

129.情報セキュリティマネージャーが情報セキュリティに対する新たな脅威を特定する際、次のどれが最も役立つか?

130.高度に統合された事業体のITシステムが情報セキュリティマネージャーに課題を提示するのは、主にどの観点でセキュリティベースラインを設定しようとする場合か?

131.評価中に発見された脆弱性は:

132.現行のコントロールでは深刻なセキュリティ侵害を予防するには十分ではないことが判明した場合、情報セキュリティマネージャーが最初に取るべき対策は次のうちどれか?

133.規制要件に対処する際に最適なアプローチは、次のうちどれか?

134.リスク評価を継続的に実行する第一の利点は何か?

135.特定の種類のトランザクションにより処理された情報を保護するための新しい規制が、情報セキュリティ責任者の目に留まった。 　　この責任者が最初にすべきことは:

136.リスクの本質的な要素は何か?

137.モニタリングにより、セキュリティ違反が発見された。最も適切な行動は何か?

138.リスク管理プログラムの開発において最初のステップで確立される構成要素は、次のうちどれか?

139.システム開発の一環として、事業体はどのようにして、機密性、完全性、可用性の3要素の中から最も保護する必要がある要素を、決定すべきか?

140.ネットワークスキャン中に発見された重大なシステム脆弱性に対処する際、最適なアプローチは次のうちどれか?

141.情報セキュリティマネージャーは、リスクがリスク選好度を超過していると判定したが、リスク軽減対応をしなかった。 　　経営者がこの措置を適切と見なす理由として最も可能性が高いのは何か?

142.リスク分析で潜在的な影響を考慮に入れるべきなのはなぜか?

143.リスク管理を効果的にするために適用すべき対象は:

144.様々なリスクシナリオに直面した際に、処理オプションの優先順位付けが最も効果的となるのは、何を基準とする場合か?

145.事業体における受容可能な残存リスクレベルを決定するのは、次のどの項目か?

146.組織の目標を達成する上でリスク管理プロセスが最も効果的なのは:

147.重要な資産のエクスポージャを低減することが効果的な軽減策である理由は:

148.リスク集計の目標は何か?

149.事業体全体で費用効果の高いリスク軽減を達成できる可能性が最も高いのは、次のうちどれか?

150.保護要件の範囲を考慮する際、他のすべてに影響を与え得る最も重要な考慮事項は次のうちどれか?

151.リスク管理戦略を定義する前に理解しておくべきことは、次のうちどれか?

152.コントロール目標が最も密接に整合する対象は:

153.リスク管理において特定の改善目標を満たすために必要な取り組みのレベルを決定する際、次のうちどのツールを使用するのが最適であるか?

154.深刻なセキュリティ侵害によって想定される結果を判断する際、最も有益なのは次のうちどれか?

155.優れた情報セキュリティ実践において、リスクの完全な再評価を実施する必要があるのは、どのような状況か?

156.高いリスク許容度が有益なのは:

157.ある事業体は、重大な脅威を特定し、それに対して脆弱であることを特定した。 　　この状況において、情報セキュリティ管理部門が予防的改善に関係しない最も適切な理由は次のうちどれか?

158.一連の標準への適切な遵守の欠如が、重大なリスクをもたらすことが判明した場合、情報セキュティマネージャーが最初にすべきことは:

159.受容可能なリスクのレベルを定量化するには、次のどの方法を用いるのが最も適切であるか?

160.残存リスクが判定されるのは、リスク管理プロセスのどの時点か?

161.リスク評価の有効性の最も適切な評価基準は、次のうちどれか?

162.リスク評価を実施する際、最も重要な要素は次のうちどれか?

163.BYOD(Bring Your On Device)プログラムの導入に向けた最初のステップは、次のどの活動か?

164.業務上のリスクを管理する有効性は、何の数で測定するのが最善であるか?

165.リスク評価の第一の目的は:

166.処理のためリスクに優先順位を付ける場合、最も支持できる根拠は次のうちどれか?

167.リスク評価の結果がレビューされたとき、リスク格付けの根拠が部門ごとに異なることが判明した。 　　この状況を改善する最善策は、次のうちどれか?

168.リスク管理は定期的で継続的なプログラムまたは活動として取り組む必要がある。その第一の理由は:

169.リスク対応の最終的な目的は:

170.事業体が、所定のリスク許容度内で所定のリスク選好度より高いレベルと推定されるリスクを軽減することを合理的に選択するのはなぜか?

171.高いリスク変動性は、情報セキュリティマネージャーにとって何をする基礎となるか?

172.ある事業体では新技術の購入を検討している。 　　その技術は、顧客とのやり取りを促進し、既存の顧客情報管理システムに統合されるものである。 　　情報セキュリティマネージャーがこの購入に関して考慮すべき第一のリスクは、次のうちどれか?

173.効果的なリスク管理の結果を最も適切に表しているのは、次のうちどれか?

174.リスク管理をビジネスプロセスに効率的に統合する際の、最初のステップは次のうちどれか?

175.ITインフラストラクチャを保護するために、製品を選択し導入する際、第一の基礎となるのは何か?

176.セキュリティ標準が事業目標と矛盾する場合、最良の解決策は次のうちどれか?

177.年間損失予想額を用いて年間損失規模を予測する場合の、主な欠陥は何か?

178.セキュリティレビューを実施する目的が定義された後、情報セキュリティマネージャーの次のステップは何を決定することか?

179.事業体の中核事業にとって重要な新しいITシステムを取得することにより、重大なリスクが生まれる可能性がある。 　　リスクを効率的に管理するために、情報セキュリティマネージャーが最初にすべきことは:

180.脆弱性評価の第一の目標は:

181.事業体のIT変更管理プロセスでは、すべての変更要求が資産所有者と情報セキュリティマネージャーにより承認されることを義務付ける。 　　情報セキュリティマネージャーの承認を得ることの第一の目標は、何を確実にすることか?

182.情報セキュリティマネージャーは、特定のコントロールに高レベルの違反に気が付いた。 　　ビジネスマネージャーは、違反が運用効率のために必要であると説明した。情報セキュリティマネージャーは:

183.レガシーアプリケーションのセキュリティをテストするための最も費用対効果が高いアプローチは、次のうちどれか?

184.サードパーティサービスプロバイダに関連する固有リスクを管理する上で、結果的に最も効果的な情報セキュリティマネージャーの取り組みは:

185.情報システムライフサイクルの様々なステージにおいて、リスクシナリオに対処する第一の機能は:

186.情報セキュリティマネージャーが、重要なアプリケーションのコントロールが不十分であることに気付いた場合、最初に取るべき行動は次のうちどれか?

187.モバイルデバイスを広く使用している事業体において、最も重大な懸念事項は次のうちどれか?

188.現在の情報セキュリティリスクに関するタイムリーな意思決定を継続的に行うことができるように、上級経営者に伝達する事項の中で最も適切なのは次のうちどれか?

189.第三者による情報セキュリティシステムの評価において、脆弱性スキャンチームがすべての重要なリスクの高い脆弱性をシステム利害関係者に提供していないことが評価チームのリーダーに報告された。評価チームのリーダーが最初に取るべき行動は何か?

190.リスク軽減のために導入されたコントロールの遵守に基づき、リスクレベルの変更を報告する際、情報セキュリティマネージャーに最も役立つのは、次のうちどれか?

191.情報セキュリティマネージャーは、提案された新しいITアプリケーションを採用すると、ビジネス機能のリスクレベルが変更されることに気付いた。最初に取るべき措置は:

192.重要な情報を保存しているサーバにパッチが適用されていないため、悪用される可能性がある情報セキュリティ脅威が発見された後、情報セキュリティマネージャーが最初に報告すべき相手は誰であるか?

193.上級経営者への情報セキュリティリスクに関連する報告事項を計画するときに考慮すべき最も重要な要素は、次のうちどれか?

194.ある情報セキュリティマネージャーは、ユーザがそれぞれの職責に整合した権限を持っていることを確認するために、重要なビジネスアプリケーションへのユーザアクセスをレビューしていたところ、過剰アクセスの事例を数多く発見した。 　このリスクに関して報告を受けるべき第一の連絡窓口は、次のうち誰か?

195.事業体への不正アクセスまたは悪意のあるサイバーセキュリティ攻撃の可能性について、最も適切な洞察を提供するのは、次のうちどれか?

196.ユーザが本番稼働システムへのリモートアクセスを要求する場合、最もセキュリティの高い認証方式は、次のうちどれか?

197.サードパーティの情報セキュリティプロバイダを選定する際の重要事項は、次のうちどれか?

198.事業体においてリスクの再評価が必要になる状況として、第一の候補となるのは、次のうちどれか?

199.影響度の低いセキュリティ問題を徹底的に分析した後、セキュリティアナリストは、過去にも同様の問題があったが検知されておらず、事業運営を中断させることもなかったことを特定した。 　　上級経営者が次のステップとして、リスク軽減に関する意思決定を効果的に文書化するに当たり、最も役立つ情報は次のうちどれか?

200.ある情報セキュリティマネージャーは、ユーザアクセスに焦点を絞ったコントロールに関するリスクアセスメントを開始しようとしている。 　　このアセスメントを準備するに当たり、最も有益な情報は、次のうちどれか?