ドメイン2_②

100問 • 2年前

麻生元気

通報

問題一覧

101.提案されたシステムの変更が既存のセキュリティ標準に違反する場合、矛盾を解決する最善策は:

A.リスクの計算

102.ウェブベースのアプリケーションシステムの内部レビューにより、URLアカウントへのアクセスに用いられる従業員IDを変更することで、全従業員のアカウントへのアクセス権を取得できることが発見された。　　特定された脆弱性は:

A.認証の不備

103.新しいベンダーの脆弱性を特定する際、最も費用のかからない方法は何か?

A.外部の脆弱性報告情報源

104.連結されたシステムの脆弱性チェーンから派生する集積リスクを評価する際、最良の方法は次のうちどれか?

B.侵入テスト

105.ある事業体は、類似技術を使用している別の事業体でセキュリティ侵害が発生したことを耳にした。　　情報セキュリティマネージャーが最初にすべきことは:

A.報告された原因から、インシデントの発現可能性を評価する。

106.パブリッククラウドコンピューティング技術を業務に導入する場合、次のうちどの状況が主に懸念されるか?

C.リスクプロファイルに新たなリスクシナリオを追加する必要があることの理解不足

107.リスク評価の第一の成果は何か?

D.事業体へ影響を与える可能性があるリスクの一覧

108.精度を高めるため、リスク評価の主観的性質を考慮に入れる際に最も重要な行動は次のうちどれか?

A.評価者をトレーニングまたは調整する。

109.密接に統合されたITシステムが最も影響を受けやすいのは:

D.連鎖リスク

110.ソフトウェア開発事業体にとって、セキュリティリスク評価の費用対効果が最も高いのは、リスク評価をいつ実施する場合か?

D.システム開発ライフサイクルの各段階

111.事業体の現行のリスク選好度を最も定量的に示す要素は、次のうちどれか?

D.業務中断の防止を目的とした保険料率

112.予想最大損失額の使用用途は:

B.一定期間中に起こりうる最大損失額の判定

113.変更管理プロセスに効果的な脅威および脆弱性評価を取り入れる場合、最も重要な理由は次のうちどれか?

A.完全なリスク評価の定期的実施の必要性を抑えるため。

114.分散型サービス拒否攻撃(DDoS)の結果として、事業体が重大な業務中断に悩まされる場合、どのリスクと分類されるか?

D.運用リスク

115.通常、最も多く推測を伴うのは、リスク評価のどの要素であるか?

D.発現可能性

116.コントロールの強度を下げるのに最も適切なのは、どのような状況か?

A.評価されたリスクが許容レベルより低い。

117.ライフサイクルの各段階でリスクに対処するための最善のサポート手段は:

A.変更管理

118.プロジェクトライフサイクルの最初の段階で情報セキュリティを考慮すべき第一の理由は:

B.情報セキュリティがプロジェクトの実現性に影響を与える可能性があるため。

119.最高情報セキュリティ責任者(CISO)は、事業体の情報システムを保護するために複数の情報セキュリティコントロール(ウイルス対策など)を提案した。　　以下のリスク処理オプションのうち、CISOはどれを推奨しているか?

B.リスク軽減

120.事業体の情報セキュリティポリシーでは、すべての機密情報が外部と通信する際に暗号化されることを要求している。　　規制当局はコンプライアンス報告を暗号化せずに送信せよと主張している。情報セキュリティマネージャーは:

C.暗号化せずに報告を送信するために必要な、例外プロセスを開始する。

121.現存するリスクレベルを評価する最適なプロセスは:

B.セキュリティレビュー

122.提案されたコントロールで費用便益分析が実行される目的は:

D.リスクの低減に照らし合わせて、コストが正当であること実証するため。

123.オンライン環境での攻撃の進化する性質を最も良く表すのは、次のうちどれか?

C.業界トラッキング団体

124.情報セキュリティマネージャーは、規制コンプライアンス要件をどのような位置付けで取り扱うべきか?

D.単なる1つのリスク

125.経営者は最近適用された規制に事業体として準拠しないことを決定した。　　決定の理由として最も可能性が高いものは、次のうちどれか?

C.コンプライアンスのコストが想定される制裁を上回る。

126.コントロールのベースラインが最も直接関連するのは:

A.事業体のリスク選好度

127.経営者がリスク選好度を超えるリスクを軽減しないことを選択する可能性が最も高い理由は:

C.リスク許容度の範囲内に収まっている。

128.事業体における受容可能なリスクレベルを判断する上で、次の中でどれが最も適切な指標か?

B.保険適用範囲と保険料の比率

129.情報セキュリティマネージャーが情報セキュリティに対する新たな脅威を特定する際、次のどれが最も役立つか?

C.事業体で採用される情報の流れおよび分類を理解すること

130.高度に統合された事業体のITシステムが情報セキュリティマネージャーに課題を提示するのは、主にどの観点でセキュリティベースラインを設定しようとする場合か?

C.連鎖リスクの影響の判断

131.評価中に発見された脆弱性は:

D.脅威、影響、軽減コストを評価するべきである。

132.現行のコントロールでは深刻なセキュリティ侵害を予防するには十分ではないことが判明した場合、情報セキュリティマネージャーが最初に取るべき対策は次のうちどれか?

B.リスクを再査定する。

133.規制要件に対処する際に最適なアプローチは、次のうちどれか?

A.規制コンプライアンスを他のリスクと同じように扱う。

134.リスク評価を継続的に実行する第一の利点は何か?

D.変容し続けるリスクプロファイルの傾向を特定する。

135.特定の種類のトランザクションにより処理された情報を保護するための新しい規制が、情報セキュリティ責任者の目に留まった。　　この責任者が最初にすべきことは:

C.既存のコントロールが規制を満たすか評価する。

136.リスクの本質的な要素は何か?

B.発現可能性と影響

137.モニタリングにより、セキュリティ違反が発見された。最も適切な行動は何か?

A.違反を確認する。

138.リスク管理プログラムの開発において最初のステップで確立される構成要素は、次のうちどれか?

D.プログラムの背景と目的

139.システム開発の一環として、事業体はどのようにして、機密性、完全性、可用性の3要素の中から最も保護する必要がある要素を、決定すべきか?

C.セキュリティ侵害を受ける場合の発生率と各要素への影響を基準とするべきである。

140.ネットワークスキャン中に発見された重大なシステム脆弱性に対処する際、最適なアプローチは次のうちどれか?

B.対応処置は脅威、影響、コストを考慮して行うべきである。

141.情報セキュリティマネージャーは、リスクがリスク選好度を超過していると判定したが、リスク軽減対応をしなかった。　　経営者がこの措置を適切と見なす理由として最も可能性が高いのは何か?

C.リスクがリスク許容度レベル内に収まっている。

142.リスク分析で潜在的な影響を考慮に入れるべきなのはなぜか?

C.潜在的な影響は軽減処置の範囲に影響を与える。

143.リスク管理を効果的にするために適用すべき対象は:

A.組織の活動全般

144.様々なリスクシナリオに直面した際に、処理オプションの優先順位付けが最も効果的となるのは、何を基準とする場合か?

B.セキュリティ侵害の発生率とその影響

145.事業体における受容可能な残存リスクレベルを決定するのは、次のどの項目か?

A.経営者の裁量

146.組織の目標を達成する上でリスク管理プロセスが最も効果的なのは:

D.リスク活動がビジネスプロセスに統合されている場合

147.重要な資産のエクスポージャを低減することが効果的な軽減策である理由は:

B.悪用される可能性を低下させるから。

148.リスク集計の目標は何か?

D.単一の脅威ベクトルに由来する全体的なリスクのうち、重大なものを特定すること。

149.事業体全体で費用効果の高いリスク軽減を達成できる可能性が最も高いのは、次のうちどれか?

C.保証プロセスの統合

150.保護要件の範囲を考慮する際、他のすべてに影響を与え得る最も重要な考慮事項は次のうちどれか?

A.エクスポージャ

151.リスク管理戦略を定義する前に理解しておくべきことは、次のうちどれか?

B.組織の目標とリスク選好度

152.コントロール目標が最も密接に整合する対象は:

C.リスク選好度

153.リスク管理において特定の改善目標を満たすために必要な取り組みのレベルを決定する際、次のうちどのツールを使用するのが最適であるか?

C.ギャップ分析

154.深刻なセキュリティ侵害によって想定される結果を判断する際、最も有益なのは次のうちどれか?

B.資産価値評価

155.優れた情報セキュリティ実践において、リスクの完全な再評価を実施する必要があるのは、どのような状況か?

A.コントロールが深刻な失敗をした後

156.高いリスク許容度が有益なのは:

B.評価によってリスクの不確実性が高いと判明したとき

157.ある事業体は、重大な脅威を特定し、それに対して脆弱であることを特定した。　　この状況において、情報セキュリティ管理部門が予防的改善に関係しない最も適切な理由は次のうちどれか?

A.脆弱性がコンパートメント化されている。

158.一連の標準への適切な遵守の欠如が、重大なリスクをもたらすことが判明した場合、情報セキュティマネージャーが最初にすべきことは:

C.経営者にリスクと起こり得る結果を報告する。

159.受容可能なリスクのレベルを定量化するには、次のどの方法を用いるのが最も適切であるか?

C.事業中断保険の補償額と保険料との比率を計算する。

160.残存リスクが判定されるのは、リスク管理プロセスのどの時点か?

A.新規/既存のコントロールまたは対策の適用成果を評価しているとき

161.リスク評価の有効性の最も適切な評価基準は、次のうちどれか?

D.未知のリスクによるインシデントの割合

162.リスク評価を実施する際、最も重要な要素は次のうちどれか?

A.結果

163.BYOD(Bring Your On Device)プログラムの導入に向けた最初のステップは、次のどの活動か?

B.デバイスを承認する前に厳重な評価プロセスを行う。

164.業務上のリスクを管理する有効性は、何の数で測定するのが最善であるか?

D.深刻な財務的損失または業務中断を引き起こしたセキュリティインシデント。

165.リスク評価の第一の目的は:

A.リスク対応を選択する際の基礎を提供することである。

166.処理のためリスクに優先順位を付ける場合、最も支持できる根拠は次のうちどれか?

B.頻度と影響

167.リスク評価の結果がレビューされたとき、リスク格付けの根拠が部門ごとに異なることが判明した。　　この状況を改善する最善策は、次のうちどれか?

A.各部門に共通のリスク測定基準を適用する

168.リスク管理は定期的で継続的なプログラムまたは活動として取り組む必要がある。その第一の理由は:

C.環境が変化する。

169.リスク対応の最終的な目的は:

D.影響をコントロールすること。

170.事業体が、所定のリスク許容度内で所定のリスク選好度より高いレベルと推定されるリスクを軽減することを合理的に選択するのはなぜか?

D.上級経営者は、予測された影響が過小評価されることを懸念している場合があるから。

171.高いリスク変動性は、情報セキュリティマネージャーにとって何をする基礎となるか?

B.評価されたリスクレベルを上げ、リスク改善の優先度を上げる。

172.ある事業体では新技術の購入を検討している。　　その技術は、顧客とのやり取りを促進し、既存の顧客情報管理システムに統合されるものである。　　情報セキュリティマネージャーがこの購入に関して考慮すべき第一のリスクは、次のうちどれか?

C.新技術が他のシステムのセキュリティまたは運用に影響を及ぼす可能性。

173.効果的なリスク管理の結果を最も適切に表しているのは、次のうちどれか?

D.事業体に与える著しく有害な影響の発生を低減する。

174.リスク管理をビジネスプロセスに効率的に統合する際の、最初のステップは次のうちどれか?

A.ワークフロー分析

175.ITインフラストラクチャを保護するために、製品を選択し導入する際、第一の基礎となるのは何か?

D.リスク評価

176.セキュリティ標準が事業目標と矛盾する場合、最良の解決策は次のうちどれか?

C.リスク分析の実施

177.年間損失予想額を用いて年間損失規模を予測する場合の、主な欠陥は何か?

A.基礎とする情報の少なくとも一部は主観的である。

178.セキュリティレビューを実施する目的が定義された後、情報セキュリティマネージャーの次のステップは何を決定することか?

C.範囲

179.事業体の中核事業にとって重要な新しいITシステムを取得することにより、重大なリスクが生まれる可能性がある。　　リスクを効率的に管理するために、情報セキュリティマネージャーが最初にすべきことは:

D.適切な調達プロセスが採用されていることを保証する。

180.脆弱性評価の第一の目標は:

C.経営者に確証を与えること。

181.事業体のIT変更管理プロセスでは、すべての変更要求が資産所有者と情報セキュリティマネージャーにより承認されることを義務付ける。　　情報セキュリティマネージャーの承認を得ることの第一の目標は、何を確実にすることか?

B.提案された変更から生じるリスクが管理されていること。

182.情報セキュリティマネージャーは、特定のコントロールに高レベルの違反に気が付いた。　　ビジネスマネージャーは、違反が運用効率のために必要であると説明した。情報セキュリティマネージャーは:

A.違反によるリスクを評価し、代替コントロールを提案するべきである。

183.レガシーアプリケーションのセキュリティをテストするための最も費用対効果が高いアプローチは、次のうちどれか?

D.アプリケーションの弱点を検出するために脆弱性評価を実施する。

184.サードパーティサービスプロバイダに関連する固有リスクを管理する上で、結果的に最も効果的な情報セキュリティマネージャーの取り組みは:

A.組織のエクスポージャの制限

185.情報システムライフサイクルの様々なステージにおいて、リスクシナリオに対処する第一の機能は:

A.変更管理

186.情報セキュリティマネージャーが、重要なアプリケーションのコントロールが不十分であることに気付いた場合、最初に取るべき行動は次のうちどれか?

A.エクスポージャのレベルを決定するためにリスクアセスメントを実行する。

187.モバイルデバイスを広く使用している事業体において、最も重大な懸念事項は次のうちどれか?

D.モバイルデバイスが簡単に紛失したり盗まれたりする。

188.現在の情報セキュリティリスクに関するタイムリーな意思決定を継続的に行うことができるように、上級経営者に伝達する事項の中で最も適切なのは次のうちどれか?

B.重要なビジネス資産に関連する重要リスク評価指標

189.第三者による情報セキュリティシステムの評価において、脆弱性スキャンチームがすべての重要なリスクの高い脆弱性をシステム利害関係者に提供していないことが評価チームのリーダーに報告された。評価チームのリーダーが最初に取るべき行動は何か?

A.マネージャーに発見事項を報告する

190.リスク軽減のために導入されたコントロールの遵守に基づき、リスクレベルの変更を報告する際、情報セキュリティマネージャーに最も役立つのは、次のうちどれか?

C.遅行指標

191.情報セキュリティマネージャーは、提案された新しいITアプリケーションを採用すると、ビジネス機能のリスクレベルが変更されることに気付いた。最初に取るべき措置は:

A.リスクレベルの変更をビジネス機能の責任者に報告する。

192.重要な情報を保存しているサーバにパッチが適用されていないため、悪用される可能性がある情報セキュリティ脅威が発見された後、情報セキュリティマネージャーが最初に報告すべき相手は誰であるか?

B.システム所有者

193.上級経営者への情報セキュリティリスクに関連する報告事項を計画するときに考慮すべき最も重要な要素は、次のうちどれか?

A.事業目標

194.ある情報セキュリティマネージャーは、ユーザがそれぞれの職責に整合した権限を持っていることを確認するために、重要なビジネスアプリケーションへのユーザアクセスをレビューしていたところ、過剰アクセスの事例を数多く発見した。　このリスクに関して報告を受けるべき第一の連絡窓口は、次のうち誰か?

A.アプリケーション所有者

195.事業体への不正アクセスまたは悪意のあるサイバーセキュリティ攻撃の可能性について、最も適切な洞察を提供するのは、次のうちどれか?

C.エシカルハッキング

196.ユーザが本番稼働システムへのリモートアクセスを要求する場合、最もセキュリティの高い認証方式は、次のうちどれか?

C.多要素認証

197.サードパーティの情報セキュリティプロバイダを選定する際の重要事項は、次のうちどれか?

D.リスクアセスメント

198.事業体においてリスクの再評価が必要になる状況として、第一の候補となるのは、次のうちどれか?

B.主要なソフトウェアソリューションベンダーが未知の事業体によって買収された。

199.影響度の低いセキュリティ問題を徹底的に分析した後、セキュリティアナリストは、過去にも同様の問題があったが検知されておらず、事業運営を中断させることもなかったことを特定した。　　上級経営者が次のステップとして、リスク軽減に関する意思決定を効果的に文書化するに当たり、最も役立つ情報は次のうちどれか?

A.費用便益分析

100

200.ある情報セキュリティマネージャーは、ユーザアクセスに焦点を絞ったコントロールに関するリスクアセスメントを開始しようとしている。　　このアセスメントを準備するに当たり、最も有益な情報は、次のうちどれか?

A.過去の監査報告

ドメイン1_①

ドメイン1_①

ドメイン1_②

ドメイン1_②

ドメイン2_①

ドメイン2_①

ドメイン2_③

ドメイン2_③

ドメイン3_①

ドメイン3_①

ドメイン3_②

ドメイン3_②

ドメイン3_③

ドメイン3_③

ドメイン3_④

ドメイン3_④

ドメイン1

ドメイン1

ドメイン2

ドメイン2

ドメイン3

ドメイン3

ドメイン4

ドメイン4

ドメイン5

ドメイン5

ドメイン6

ドメイン6

ドメイン1_③

ドメイン1_③

ドメイン1_⑥

ドメイン1_⑥

ドメイン1_⑦

ドメイン1_⑦

ドメイン1_⑩

ドメイン1_⑩

ドメイン2_③

ドメイン2_③

ドメイン2_④

ドメイン2_④

ドメイン2_⑦

ドメイン2_⑦

ドメイン2_⑧

ドメイン2_⑧

問題一覧

101.提案されたシステムの変更が既存のセキュリティ標準に違反する場合、矛盾を解決する最善策は:

A.リスクの計算

A.認証の不備

103.新しいベンダーの脆弱性を特定する際、最も費用のかからない方法は何か?

A.外部の脆弱性報告情報源

104.連結されたシステムの脆弱性チェーンから派生する集積リスクを評価する際、最良の方法は次のうちどれか?

B.侵入テスト

A.報告された原因から、インシデントの発現可能性を評価する。

106.パブリッククラウドコンピューティング技術を業務に導入する場合、次のうちどの状況が主に懸念されるか?

C.リスクプロファイルに新たなリスクシナリオを追加する必要があることの理解不足

107.リスク評価の第一の成果は何か?

D.事業体へ影響を与える可能性があるリスクの一覧

108.精度を高めるため、リスク評価の主観的性質を考慮に入れる際に最も重要な行動は次のうちどれか?

A.評価者をトレーニングまたは調整する。

109.密接に統合されたITシステムが最も影響を受けやすいのは:

D.連鎖リスク

110.ソフトウェア開発事業体にとって、セキュリティリスク評価の費用対効果が最も高いのは、リスク評価をいつ実施する場合か?

D.システム開発ライフサイクルの各段階

111.事業体の現行のリスク選好度を最も定量的に示す要素は、次のうちどれか?

D.業務中断の防止を目的とした保険料率

112.予想最大損失額の使用用途は:

B.一定期間中に起こりうる最大損失額の判定

113.変更管理プロセスに効果的な脅威および脆弱性評価を取り入れる場合、最も重要な理由は次のうちどれか?

A.完全なリスク評価の定期的実施の必要性を抑えるため。

114.分散型サービス拒否攻撃(DDoS)の結果として、事業体が重大な業務中断に悩まされる場合、どのリスクと分類されるか?

D.運用リスク

115.通常、最も多く推測を伴うのは、リスク評価のどの要素であるか?

D.発現可能性

116.コントロールの強度を下げるのに最も適切なのは、どのような状況か?

A.評価されたリスクが許容レベルより低い。

117.ライフサイクルの各段階でリスクに対処するための最善のサポート手段は:

A.変更管理

118.プロジェクトライフサイクルの最初の段階で情報セキュリティを考慮すべき第一の理由は:

B.情報セキュリティがプロジェクトの実現性に影響を与える可能性があるため。

B.リスク軽減

C.暗号化せずに報告を送信するために必要な、例外プロセスを開始する。

121.現存するリスクレベルを評価する最適なプロセスは:

B.セキュリティレビュー

122.提案されたコントロールで費用便益分析が実行される目的は:

D.リスクの低減に照らし合わせて、コストが正当であること実証するため。

123.オンライン環境での攻撃の進化する性質を最も良く表すのは、次のうちどれか?

C.業界トラッキング団体

124.情報セキュリティマネージャーは、規制コンプライアンス要件をどのような位置付けで取り扱うべきか?

D.単なる1つのリスク

125.経営者は最近適用された規制に事業体として準拠しないことを決定した。　　決定の理由として最も可能性が高いものは、次のうちどれか?

C.コンプライアンスのコストが想定される制裁を上回る。

126.コントロールのベースラインが最も直接関連するのは:

A.事業体のリスク選好度

127.経営者がリスク選好度を超えるリスクを軽減しないことを選択する可能性が最も高い理由は:

C.リスク許容度の範囲内に収まっている。

128.事業体における受容可能なリスクレベルを判断する上で、次の中でどれが最も適切な指標か?

B.保険適用範囲と保険料の比率

129.情報セキュリティマネージャーが情報セキュリティに対する新たな脅威を特定する際、次のどれが最も役立つか?

C.事業体で採用される情報の流れおよび分類を理解すること

C.連鎖リスクの影響の判断

131.評価中に発見された脆弱性は:

D.脅威、影響、軽減コストを評価するべきである。

B.リスクを再査定する。

133.規制要件に対処する際に最適なアプローチは、次のうちどれか?

A.規制コンプライアンスを他のリスクと同じように扱う。

134.リスク評価を継続的に実行する第一の利点は何か?

D.変容し続けるリスクプロファイルの傾向を特定する。

C.既存のコントロールが規制を満たすか評価する。

136.リスクの本質的な要素は何か?

B.発現可能性と影響

137.モニタリングにより、セキュリティ違反が発見された。最も適切な行動は何か?

A.違反を確認する。

138.リスク管理プログラムの開発において最初のステップで確立される構成要素は、次のうちどれか?

D.プログラムの背景と目的

139.システム開発の一環として、事業体はどのようにして、機密性、完全性、可用性の3要素の中から最も保護する必要がある要素を、決定すべきか?

C.セキュリティ侵害を受ける場合の発生率と各要素への影響を基準とするべきである。

140.ネットワークスキャン中に発見された重大なシステム脆弱性に対処する際、最適なアプローチは次のうちどれか?

B.対応処置は脅威、影響、コストを考慮して行うべきである。

C.リスクがリスク許容度レベル内に収まっている。

142.リスク分析で潜在的な影響を考慮に入れるべきなのはなぜか?

C.潜在的な影響は軽減処置の範囲に影響を与える。

143.リスク管理を効果的にするために適用すべき対象は:

A.組織の活動全般

144.様々なリスクシナリオに直面した際に、処理オプションの優先順位付けが最も効果的となるのは、何を基準とする場合か?

B.セキュリティ侵害の発生率とその影響

145.事業体における受容可能な残存リスクレベルを決定するのは、次のどの項目か?

A.経営者の裁量

146.組織の目標を達成する上でリスク管理プロセスが最も効果的なのは:

D.リスク活動がビジネスプロセスに統合されている場合

147.重要な資産のエクスポージャを低減することが効果的な軽減策である理由は:

B.悪用される可能性を低下させるから。

148.リスク集計の目標は何か?

D.単一の脅威ベクトルに由来する全体的なリスクのうち、重大なものを特定すること。

149.事業体全体で費用効果の高いリスク軽減を達成できる可能性が最も高いのは、次のうちどれか?

C.保証プロセスの統合

150.保護要件の範囲を考慮する際、他のすべてに影響を与え得る最も重要な考慮事項は次のうちどれか?

A.エクスポージャ

151.リスク管理戦略を定義する前に理解しておくべきことは、次のうちどれか?

B.組織の目標とリスク選好度

152.コントロール目標が最も密接に整合する対象は:

C.リスク選好度

153.リスク管理において特定の改善目標を満たすために必要な取り組みのレベルを決定する際、次のうちどのツールを使用するのが最適であるか?

C.ギャップ分析

154.深刻なセキュリティ侵害によって想定される結果を判断する際、最も有益なのは次のうちどれか?

B.資産価値評価

155.優れた情報セキュリティ実践において、リスクの完全な再評価を実施する必要があるのは、どのような状況か?

A.コントロールが深刻な失敗をした後

156.高いリスク許容度が有益なのは:

B.評価によってリスクの不確実性が高いと判明したとき

A.脆弱性がコンパートメント化されている。

158.一連の標準への適切な遵守の欠如が、重大なリスクをもたらすことが判明した場合、情報セキュティマネージャーが最初にすべきことは:

C.経営者にリスクと起こり得る結果を報告する。

159.受容可能なリスクのレベルを定量化するには、次のどの方法を用いるのが最も適切であるか?

C.事業中断保険の補償額と保険料との比率を計算する。

160.残存リスクが判定されるのは、リスク管理プロセスのどの時点か?

A.新規/既存のコントロールまたは対策の適用成果を評価しているとき

161.リスク評価の有効性の最も適切な評価基準は、次のうちどれか?

D.未知のリスクによるインシデントの割合

162.リスク評価を実施する際、最も重要な要素は次のうちどれか?

A.結果

163.BYOD(Bring Your On Device)プログラムの導入に向けた最初のステップは、次のどの活動か?

B.デバイスを承認する前に厳重な評価プロセスを行う。

164.業務上のリスクを管理する有効性は、何の数で測定するのが最善であるか?

D.深刻な財務的損失または業務中断を引き起こしたセキュリティインシデント。

165.リスク評価の第一の目的は:

A.リスク対応を選択する際の基礎を提供することである。

166.処理のためリスクに優先順位を付ける場合、最も支持できる根拠は次のうちどれか?

B.頻度と影響

A.各部門に共通のリスク測定基準を適用する

168.リスク管理は定期的で継続的なプログラムまたは活動として取り組む必要がある。その第一の理由は:

C.環境が変化する。

169.リスク対応の最終的な目的は:

D.影響をコントロールすること。

170.事業体が、所定のリスク許容度内で所定のリスク選好度より高いレベルと推定されるリスクを軽減することを合理的に選択するのはなぜか?

D.上級経営者は、予測された影響が過小評価されることを懸念している場合があるから。

171.高いリスク変動性は、情報セキュリティマネージャーにとって何をする基礎となるか?

B.評価されたリスクレベルを上げ、リスク改善の優先度を上げる。

C.新技術が他のシステムのセキュリティまたは運用に影響を及ぼす可能性。

173.効果的なリスク管理の結果を最も適切に表しているのは、次のうちどれか?

D.事業体に与える著しく有害な影響の発生を低減する。

174.リスク管理をビジネスプロセスに効率的に統合する際の、最初のステップは次のうちどれか?

A.ワークフロー分析

175.ITインフラストラクチャを保護するために、製品を選択し導入する際、第一の基礎となるのは何か?

D.リスク評価

176.セキュリティ標準が事業目標と矛盾する場合、最良の解決策は次のうちどれか?

C.リスク分析の実施

177.年間損失予想額を用いて年間損失規模を予測する場合の、主な欠陥は何か?

A.基礎とする情報の少なくとも一部は主観的である。

178.セキュリティレビューを実施する目的が定義された後、情報セキュリティマネージャーの次のステップは何を決定することか?

C.範囲

D.適切な調達プロセスが採用されていることを保証する。

180.脆弱性評価の第一の目標は:

C.経営者に確証を与えること。

B.提案された変更から生じるリスクが管理されていること。

A.違反によるリスクを評価し、代替コントロールを提案するべきである。

183.レガシーアプリケーションのセキュリティをテストするための最も費用対効果が高いアプローチは、次のうちどれか?

D.アプリケーションの弱点を検出するために脆弱性評価を実施する。

184.サードパーティサービスプロバイダに関連する固有リスクを管理する上で、結果的に最も効果的な情報セキュリティマネージャーの取り組みは:

A.組織のエクスポージャの制限

185.情報システムライフサイクルの様々なステージにおいて、リスクシナリオに対処する第一の機能は:

A.変更管理

A.エクスポージャのレベルを決定するためにリスクアセスメントを実行する。

187.モバイルデバイスを広く使用している事業体において、最も重大な懸念事項は次のうちどれか?

D.モバイルデバイスが簡単に紛失したり盗まれたりする。

B.重要なビジネス資産に関連する重要リスク評価指標

A.マネージャーに発見事項を報告する

C.遅行指標

A.リスクレベルの変更をビジネス機能の責任者に報告する。

B.システム所有者

193.上級経営者への情報セキュリティリスクに関連する報告事項を計画するときに考慮すべき最も重要な要素は、次のうちどれか?

A.事業目標

A.アプリケーション所有者

195.事業体への不正アクセスまたは悪意のあるサイバーセキュリティ攻撃の可能性について、最も適切な洞察を提供するのは、次のうちどれか?

C.エシカルハッキング

196.ユーザが本番稼働システムへのリモートアクセスを要求する場合、最もセキュリティの高い認証方式は、次のうちどれか?

C.多要素認証

197.サードパーティの情報セキュリティプロバイダを選定する際の重要事項は、次のうちどれか?

D.リスクアセスメント

198.事業体においてリスクの再評価が必要になる状況として、第一の候補となるのは、次のうちどれか?

B.主要なソフトウェアソリューションベンダーが未知の事業体によって買収された。

A.費用便益分析

100

A.過去の監査報告