問題一覧
1
ある組織が新しいITサービスプロバイダーの利用を考慮している。監査の観点からして、レビューすべき最も重要な事項は、次のどれか
サービスプロバイダーとの間で提案されたサービス内容合意書(SLA)
2
情報システム監査人は、組織および外部委託されたサービスのサプライヤーとの間のサービス内容合意書(SLA)の適合性を評価するように命じられた。情報システム監査人がもっとも焦点を当てるべき事実は次のどれか。次の事項がSLAに含まれていない:
契約の満了、または終了における古いサプライヤーから新しいサプライヤーへの移行、または内部への戻しに関する条項
3
サービスプロバイダーとの新しい外部委託契約をレビューしている情報システム監査人が最も懸念すべき欠損事項は、次のどれか
サービスプロバイダーを「監査する権利」を示す条項
4
組織のデスクトップソフトウェアのコンプライアンスをレビューする際において、情報システム監査人が最も懸念すべきことは、インストールされているソフトウェアが:
承認されたソフトウェアの標準文書に記載されていないこと
5
ヘルスケア組織の情報システム監査人は、保護医療情報をホストすることを検討している、サードパーティーのクラウドプロバイダーの契約条項をレビューしている。顧客の組織にとって最大のリスクとなるのは次のどの契約条項か
サードパーティプロバイダーが特定の業務を実行するためのデータアクセス権を利用する
6
ある地域に複数のオフィスを構えているが、復旧予算が限られているビジネスに最も適切な復旧戦略は次のどれか
事業所間の相互援助協定
7
アプリケーションの監査時に情報システム監査人はデータベースの参照整合性の保証を提供するよう求められた、レビューすべき事項は、次のどれか
外部キー構造
8
情報システム監査人が組織のデータベースのセキュリティをレビューしている。データベースの強化に対する最も重要な考慮事項は次のどれか
デフォルト設定が変更されていること
9
データベース環境を監査する際に、情報システム監査人はデータベース管理者が次のどの機能を実施している場合において、最も懸念をすべきか
OSにパッチまた更新ファイルをインストールしている
10
重要でないシステムの復旧の最も合理的なオプションは、次のどれか
コールドサイト
11
情報システム監査人は、組織の変更管理プロセスの有効性を評価している。システムの可用性を確保するために情報システム監査人が探索すべき最も重要なコントロールは次のどれか
テスト計画、および手順が存在し、厳密に遵守されている
12
データフロー図が情報システム監査人によって使用されるのは、どのような目的のためか
データパスおよびストレージをグラフィカルに要約する
13
災害復旧計画の草案作製に対し、次のどの記述が有効であるか
ダウンタイムコストは時間の経過とともに増加する
14
経営者は別の主張をしているが、情報システム監査人は組織がライセンスを有しないソフトウェアを使用していると信じる十分な根拠を掴んでいる。この場合において、情報システム監査人が行うべきことを次の中から選びなさい
テストにより使用されているソフトウェアを検証する
15
データ通信にその他の銅線ケーブルではなく、非シールドの撚り対線(UTP)ケーブルを使用することの利点は、UTBケーブルに次の特徴がある点である
ペア間のクロストークを低減する
16
災害復旧計画を効率的に実施する上で、最も重要な要素は、次のどれか
バックアップデータのオフサイトストレージ
17
itリソースの能力、およびパフォーマンスの継続的監視プロセスのレビューを実行する際、情報システム監査人が主に確認すべきことはプロセスが何に焦点を合わせているか?
ITリソース能力に関する正確なフィードバックの提供
18
ビジネスインパクト分析の1部として、アプリケーションシステムの重要度を判定するための情報源として最適なものは、次のどれか
ビジネスプロセスのオーナー
19
情報システム監査人が災害復旧計画(DRP)の導入をレビューしている。プロジェクトは時間および予算通りに完成された。レビューの際に監査人は複数の懸念事項を発見した。最大のリスクが伴うのは、次のどれか
ビジネスインパクト分析は実施されているが、結果が使用されていない
20
ベンダーはここ数ヶ月でいくつかの重大なセキュリティパッチをリリースした。これはパッチのテストを実行し、適宜導入していく管理者の能力に対する圧力となっている。管理者はパッチのテストを減らすことを求めている。組織はどんなアプローチを取るべきであるか
現在のパッチテストおよび導入プロセスを続行する
21
サービス内容合意書(SLA)をレビューしている情報システム監査人が、主に懸念すべき問題は次のどれか
SLAにサービス測定が盛り込まれていなかった
22
グローバル企業の災害復旧計画の情報システム観察中に、監査人は一部のリモートオフィスに、とても限られたローカルITリソースのみが配置されていることに気づいた。情報システム監査人が行うべき最も重要な監視は次のどれか
災害、またはインシデントから復旧する際にローカルリソースがセキュリティおよびサービスの標準を維持できることを確認するテストが実施されていない
23
サービス内容合意書の稼働率要件への準拠性を確認するために、情報システム監査人が使用すべきレポートは、次のどれか
可用性レポート
24
本番プログラムが不正に修正されたかどうか判断するために、情報システム監査人が使用するのは次のどれか
準拠性テスト
25
本番システムの変更管理システムの監査時に、情報システム監査人は変更管理プロセスが正式に文書化されていないこと、および特定の移行手順が失敗していることに気づいた。情報システム監査人は、最初に何を行うべきであるか
根本原因の分析によって、発見事項に対するより一層の保証を得る
26
高可用性ネットワークの回復力を評価している情報システム監査人が、最も懸念すべき事項は次のどれか
ひとつのサイトでサーバーがクラスタ化されていること
27
経営陣が、自らの災害復旧計画に2つの予測を立てた。計画Aは全復旧に2ヶ月かかり、計画Bは全復旧に8ヶ月かかる。目標復旧ポイントは両計画で同じである。計画Bは次のどれがより高くなることを予測しているか?
ダウンタイム費用
28
予防的コンピュータメンテナンスプログラムの効果および妥当性の評価の際に、情報システム監査人が最も役立つと思うものは次のどれか
システムダウンタイムログ
29
ある組織が、ソフトウェアアズアサービス(SaaS)の運用モデルを使って、オンラインカスタマーヘルプデスクを実装した。SaaSベンダーとのサービス内容合意書(SLA)は可用性と関係があることから、情報システム監査人がSLAを監視するための最善のコントロールを推奨するよう依頼された。情報システム監査人ができる、最善の推奨事項は次のどれか
オンラインポーリングツールを導入して、アプリケーションを監視し、機能停止を記録する
30
ファイルに保存期限を適用することは、次のどれを確保するか
データがその日付まで削除されない。
31
ネットワークの情報を監視および記録するネットワーク診断ツールは、次のどれか
プロトコルアナライザー
32
情報システム監査人は、ソフトウェアアプリケーションをアップグレード前の状態に復元するために使用される手順を、レビューする必要がある。そのために監査人が評価すべき事項は、次のどれか
バックアウト手順
33
ヘルプデスクアクティビティをレビューする際に、主要な懸念となるのは次のどれか
解決済みのインシデントを、エンドユーザーに確認せずに終了する
34
オフサイトの災害復旧施設を定期的にテストする、最大の目的は次のどれか
対策施設の継続的な互換性を確保すること
35
POSデバイスで電子送金を行う大型チェーン店は銀行ネットワークと接続するために、集中化された通信処理装置を採用している。通信処理装置のための最良の災害復旧計画は次のどれか
別のネットワークノードでの代替通信処理装置
36
データベース管理者はいくつかのテーブルを非正規化することで、データベースの効率が向上できることを示唆した。これは次のどの結果を引き起こすか
冗長性の増加
37
情報システム監査人がジョブ実行ログをコンピューターのジョブスケジュールと比較するテストを実行するように命じられた。以下の観察結果の中、情報システム監査人の最大の懸念となるのは、次のどれか
1部のジョブがコンピューターのオペレーターにより強制変更されていた
38
新しいビジネス要件により、データベースベンダーを変更する必要が生じた。導入に関連して情報システム監査人が主に調べる必要のある分野は以下のどれか
データの完全性
39
データベースシステムの並行処理制御の目的は、次のどれか
二つのプロセスが同時に同じデータを更新しようと試みた場合においても完全性を確保すること
40
データベースの完全性を最も保証するコントロールは、次のどれか
テーブルリンク・参照チェック
41
ネットワーク管理の最も重要なコンポーネントの一つとして、広く認知されているのは、次のどれか
構成および変更管理
42
パスワード管理に関するプログラムされたコントロールを評価する際に、情報システム監査人が最も信頼できるのは、次のどれか
妥当性チェック
43
二つの企業の間で結ばれた災害復旧用の相互援助協定によって引き起こされる最大のリスクを表すのは、次のどれか
開発がハードウェアおよびソフトウェアの不一致につながりかねない
44
ネットワークパフォーマンス監視ツールによって最も直接的に影響されるのは、次のどれか
可用性
45
電子メールのオンサイトアーカイブプロセスを監査するとき、情報システム監査人は次のどれに最も注意するべきか
データ保持ポリシーの存在
46
ベンダーが自らのソフトウェアのセキュリティ上の欠陥を修復したパッチをリリースした。この場合、情報システム監査人が推奨すべき事項は次のどれか
インストールの前にパッチの影響を評価する
47
本番ソースコードおよびオブジェクトコードに同期化が施されることを保証する最も効果的なコントロールは、次のどれか
ソースとオブジェクトコードの日付とタイムスタンプのレビュー
48
通常の営業時間後にデータベースに緊急変更を加える必要のあるデータベース管理者がログイン時に行わなければならないのは、次のどれか
変更を加えるための名前付きアカウント使用する
49
ソフトウェア開発業務の評価中、情報システム監査人はオープンソースソフトウェアのコンポーネントが顧客向けに設計されたアプリケーションにおいて使用されていたことを発見した。オープンソースソフトウェアの運用面での監査人の最大の懸念事項を次の中から選びなさい
組織と顧客はオープンソースソフトウェアのライセンス条件に従う必要がある
50
データベースのコントロールをレビューしている情報システム監査人は、通常の営業時間の際のデータベースへの変更が一連の標準手順によって処理されていることに気づいた。しかし通常の営業時間後に行われた変更には短縮されたステップしか必要とされなかった。この場合、適切な一連の補完的コントロールと考えられるのは次のどれ
変更を加えるためのDBAアカウントを使用し、変更ログを作成し、それを翌日にデビューする
51
組織の変更管理手順へのコンプライアンスを判断するための情報システム監査人によって実施される最も効果的なテストは、次のどれか
行なわれた変更を識別し承認を検証する
52
組織の災害復旧計画に相互援助協定が含まれている場合、適用されるリスク対処法は次のどれか
低減
53
プログラマーがデータを変更するために、本番プログラムを悪質的に修正し、その後で元のコードを復元した。かかる悪質な行動を最も効率的に検出するのは次のどれか
システムログファイルのレビュー
54
情報システム監査人が業務を再開するために必要な重要データの全てを保持することができなかった災害からの組織の業務再開を確認している。次のどれが間違って定義されているか
目標復旧ポイント
55
itマネージャーが技術的キャパシティーを監視することの主な利点は、次のどれか
サービスレベル要件が確実に満たされるようにする
56
ある組織の災害復旧計画レビューしている情報システム監査人が主に確認すべき事項は次のどれか
定期的にレビュー及び更新されている
57
通信の継続性を確保する方法は、いくつかある。スプリットケーブル設備又は重複ケーブル設備を介してトラフィックをルーティングする方法は次のどれか
多重ルーティング
58
情報処理施設の復旧手順が最も影響すべきものは、次の誰か
目標復旧時間
59
情報システム監査人がデータセンターの監査を行っている最中に火災警報が鳴り始めた。監査範囲は災害復旧を含んでいるため、監査人はデータセンターのスタッフが警報に対応しているのを目撃する。このシナリオを完了するためにデータセンターのスタッフが行うべき最も重要な行動は次のどれか
データセンターの全ての人物が避難することを確保する
60
情報システム監査人は、企業の災害復旧計画にクラウドにホストされる重要なアプリケーションが含まれていないことに気づいた。経営管理の回答には、災害復旧及び災害復旧関連のテストに責任があるのはクラウドベンダーであることが述べられている。情報システム監査人が次に取るべき行動を次のどれか
ベンダーのDR(災害復旧)能力を判定するため、ベンダーの契約をレビューする
61
情報システム監査人が金融機関によって使用されている災害復旧のホットサイトをレビューしている。最大の懸念材料は、次のどれか
ディスク領域の使用率データが最新状態に保たれていない
62
システムのパラメーターをレビューする際の情報システム監査人の主な懸念事項は、次のどれか
パラメーターがセキュリティおよびパフォーマンスの双方の要件を満たすために設定されていること
63
電気配線、空調及びフローリングが施してあるが、コンピューターまた通信機器がないオフサイトの情報処理施設は次のどれか
コールドサイト
64
組織の最適化災害復旧計画はどうあるべきか
復旧時間の長さ及び復旧コストを削減する
65
組織の財務システムの災害復旧計画では、目標復旧ポイントがゼロであり、目標復旧時間が72時間であることが明示されている。この場合における最も費用対効果の高いソリューションは次のどれか
48時間で運用可能となる、ウォームサイトとのデータ同期リモートコピー
66
毎日何百万ものトランザクションを処理する金融機関には、現金自動預払機に接続するための通信用中央プロセッサー(スイッチ)が搭載されている。通信プロセッサのための最良の緊急時対応計画は次のどれか
別のネットワークノード上での代替プロセッサー
67
組織の災害復旧能力に対する即応能力の最良の証拠は、次のどれか
テストおよび演習の結果
68
情報システム監査人はデータベース管理者がデータベースサーバーのログがある場所にアクセスでき、またシステムからログを削除できることに気づいた。DBAアクティビティーを効果的に監視するために推奨される最良の監査勧告事項を次の中から選びなさい
DBAがアクセス出来ない中央ログサーバーへのデータベースログの転送
69
重要な第3者のアプリケーションをレビューする際に情報システム監査人が最も懸念する発見事項は次のどれか
ソフトウェアエスクロー契約が不適切である
70
主要な情報処理施設のハードウェアの置換後、事業継続マネージャーが最初に実行すべき行動とは、次のどれか
IT資産台帳の更新
71
災害復旧監査を実施する際に、情報システム監査人がレビューすべき最も重要な事項は、次のどれか
データのバックアップがタイムリーに実施され、オフサイトに保管される
72
情報システム監査人が処理要件をサポートするようサーバーが最適に構成されていることを確認するために、レビューすべきものを次の中から選びなさい
サーバー利用率データ
73
計画が効果的である証拠をコスト効率的に実証するために、システムクラッシュをシミュレートして実際のリソースを使用する継続計画テストは次のどれか
準備テスト
74
航空座席予約システムの業務継続計画を設計する際、オフサイト施設のデータ転送/バックアップの最も適切な方法は、次のどれか
シャドウファイルプロセス
75
本番環境の各アプリケーションシステムの重要性を判断するための最良の方法は、次のどれか
ビジネスインパクト分析を行う
76
システムリリースから誤って除外されてしまったコードが、その後通常の変更手順を経ることなく本番環境に移行された。導入事後評価を実施する情報システム監査人が最も懸念するのは以下のうちどれか
変更が変更管理の承認を受けていないこと
77
ホットサイトは次のどの状況において復旧戦略として導入すべきか
ダウンタイム耐災害性が低い場合
78
復旧戦略としてデータのミラーリングを導入するのが最も適している状態は、次のどれか
目標復旧ポイントが短い場合
79
業務継続計画の策定において、最も重要な利害関係を次の中から選びなさい
プロセスオーナー
80
変更管理手続きの設計の有効性を最も効率的かつ信頼性の高い方法でテストする方法は、次のどれか
手続きのエンドツーエンドウォークスルーを実施する
81
実地調査時、情報システム監査人はセキュリティパッチをインストールした事によるシステムクラッシュを体験した。このイベントが再発しない合理的な保証を得るために情報システム監査人が確保しなければならないのは、次のどれか
クライアントの変更管理プロセスが適切であること
82
本番環境においてバッチトランザクションジョブが失敗したが、ユーザー受入テストにおいては同じジョブに何の問題も検出されなかった。本番バッチジョブの分析によりジョブはUATの後に変更されたことが判明した。!今後このリスクを低減するための最善の方法は次のどれか
テスト後に開発者がコードにアクセスできないようにする
83
業務継続計画の一環として、組織がビジネスインパクト分析を完了した。このプロセスの次の段階は、次のどれを策定することか
業務継続戦略
84
アプリケーションメンテナンスの監査を実施している情報システム監査人がプログラム変更ログに対し、次のどれをレビューするか
プログラム変更の承認
85
第3者が提供するサービスに関連して、企業の内部統制の存在および有効性を保証するのは、次のどれか
最新の独立した第3者による監査報告書
86
災害復旧計画のレビューにおいて監査人が最も懸念すべきなのは次のどれが欠けている場合か
プロセスオーナーの参加
87
組織はヘルプデスク機能を外注している。サービス内容を合意書に含めるべき最良な指標は次のどれか
一次解決率
88
あるデータベース管理者によって実行された次のどの行動が別の人物によって実行されるべきか
データベースのアクティビティログの削除
89
災害復旧計画の重要でないシステムのテストを業務継続計画と統合させる最も適切な理由を次の結果から選びなさい
BCPはDRPにない機能の存在を想定しているため
90
ある情報システム監査人がデータベースのいくつかのテーブルで範囲外のデータを発見した。情報システム監査人はこの状況を回避するために以下のどのコントロールを推奨すべきか
データベースに完全性制約を導入する
91
情報システム監査人が1部のユーザーが自分のPCに個人のソフトウェアをインストールしていることに気づいた。これはセキュリティポリシーでは明示的に禁止されていない。情報システム監査人がとるべき最もよいアプローチは次のどれを推奨することか
不正なソフトウェアに関する特定の記述が含まれるように、セキュリティポリシーを更新する
92
コード署名の目的は、次のどの事項を保証するためのものか
ソフトウェアがその後変更されていないこと
93
データベース管理システムの監査ログを分析している情報システム監査人は、エラーのためにいくつかの取引が部分的に行われており、ロールバックされていないことを見つけた。 侵害されたトランザクション処理の特徴は、次のどれか
原子性
94
自動システムの監査中に責任及び報告ラインが必ずしも確立できない理由は、次のどれか
リソースが共有されている場合、オーナーシップを確立することは難しい
95
リスク評価とビジネスインパクト分析の違いを示すものを、次の中から選びなさい
許容できるダウンタイムの決定
96
ハードウェアのメンテナンスプログラムをレビューする際に情報システム監査人は次のどれを評価すればよいか
プログラムがベンダーの要件に対して検証されている
97
情報システム監査人は、次のどれを合理的に保証するためにライブラリーコントロールソフトウェアの使用を推奨するべきか
プログラムの変更が承認されること
98
データベースに接続されているアプリケーションの移植性を確保するのに役立つのは、次のどれか
SQLの使用
99
ビジネスユニットは新しく導入されたシステムのパフォーマンスに関して懸念している。情報システム監査人が推奨するべき事項は次のどれか
ベースラインを確立し、システムの使用を監視する
100
サービスレベル管理の主な目的は、次のどれか
要求されるサービスレベルについて定義、合意、記録および管理すること