問題一覧
1
情報システム監査人は、組織の最新の災害復旧計画をレビューしている。計画に必要となるシステムリソースの可用性を判断する際に最も重要なのは次のどの承認か
ITマネジメント
2
データフロー図が情報システム監査人によって使用されるのは、どのような目的のためか
データパスおよびストレージをグラフィカルに要約する
3
内政アプリケーションのレビューにおける情報システム監査人の最大の懸念事項は次のどれか
マネージャーが変更要求を開始しそれを承認する
4
リソースの制限と、本番ユーザーにより報告された特定の問題のサポートを行うために、開発者は本番データにフルアクセスする必要がある。本番への承認されていない変更を統制する適切な補完的コントロールとなるのは以下のうちどれか
開発者にプログラミングおよび本番サポート用のログインIDを別々に提供し監視する
5
問題管理の実行の最初のステップは、次のどれであるべきか
例外事故報告書
6
ある組織が年次リスクアセスメントを完了した。業務継続計画について、情報システム監査人は組織の次のステップとして次のどれを推奨すべきか
業務継続計画をレビューし、妥当性を評価する
7
災害復旧計画が実施されていない状態と比べて、DRPの継続的な運用にかかる費用は次のどの変化を遂げる可能性が最も高いか
増加
8
業務継続計画をレビューしている情報システム監査人にとって最大の懸念事項を次の中から選びなさい
テスト結果が適切に文書化されていない
9
組織が緊急変更管理プロセスを使用してアプリケーションに緊急変更を適用する理由として最も可能性が高いものは次のどれか
事業活動に重大な影響が出る可能性が高い
10
ある地域に複数のオフィスを構えているが、復旧予算が限られているビジネスに最も適切な復旧戦略は次のどれか
事業所間の相互援助協定
11
情報システム監査人は、次のどれを合理的に保証するためにライブラリーコントロールソフトウェアの使用を推奨するべきか
プログラムの変更が承認されること
12
データベース管理システムの監査ログを分析している情報システム監査人は、エラーのためにいくつかの取引が部分的に行われており、ロールバックされていないことを見つけた。 侵害されたトランザクション処理の特徴は、次のどれか
原子性
13
ベンダーはここ数ヶ月でいくつかの重大なセキュリティパッチをリリースした。これはパッチのテストを実行し、適宜導入していく管理者の能力に対する圧力となっている。管理者はパッチのテストを減らすことを求めている。組織はどんなアプローチを取るべきであるか
現在のパッチテストおよび導入プロセスを続行する
14
二つのビジネス機能間で災害復旧における相互援助協定が結ばれている組織で最大のリスクは次のどれか
両者が同一のインシデントの影響を受けやすい
15
情報システム監査人はアプリケーションの新しいパッチが利用可能であることに気づいたが、IT部門は他のセキュリティコントロールが設置されているため、そのパッチは必要ないという決定を下した。情報システム監査人は何を提案すべきか
全体的リスクのアセスメントを行い、その後パッチを適用するかどうかを提案する
16
業務継続計画の策定後に導入を効率的に行うには、BCPに関する次のどの事項が最も重要であるか
BCPは適切な担当者に伝達される
17
データセンターの災害時において重要なデータベースの完全な復旧を有効化する最も適切な戦略は、次のどれか
リモートサイトにリアルタイムで複製する
18
ベンダーが自らのソフトウェアのセキュリティ上の欠陥を修復したパッチをリリースした。この場合、情報システム監査人が推奨すべき事項は次のどれか
インストールの前にパッチの影響を評価する
19
システムのパラメーターをレビューする際の情報システム監査人の主な懸念事項は、次のどれか
パラメーターがセキュリティおよびパフォーマンスの双方の要件を満たすために設定されていること
20
組織の業務継続計画の複雑さによっては、BCPは、事業継続および災害復旧のさまざまな要素に対処するために一連の計画として策定されることもある。このような場合、次のどれが重要であるか
全ての計画に一貫性があること
21
災害復旧計画は次のどの事項に対処するか
業務継続計画の技術的な側面
22
ある従業員によって、マスタファイルのローンの金利が変更された。入力された金利がかかる種類のローンの通常の範囲を超えている。変更が承認されていることを合理的に保証する最も効果的なコントロールは、次のどれか
従業員の上司が承認コードを入力して変更を確認するまで変更はシステムによって処理されない
23
高可用性ネットワークの回復力を評価している情報システム監査人が、最も懸念すべき事項は次のどれか
ひとつのサイトでサーバーがクラスタ化されていること
24
電気配線、空調及びフローリングが施してあるが、コンピューターまた通信機器がないオフサイトの情報処理施設は次のどれか
コールドサイト
25
災害復旧計画を開発する際に許容できるダウンタイムの決定基準は次のどれであるべきか
最大許容停止時間
26
ネットワーク管理の最も重要なコンポーネントの一つとして、広く認知されているのは、次のどれか
構成および変更管理
27
コード署名の目的は、次のどの事項を保証するためのものか
ソフトウェアがその後変更されていないこと
28
災害宣言の後、ウォームリカバリサイトのメディアの作成日時は次のどれに基づくか
目標復旧ポイント
29
情報システム監査人がデータセンターの監査を行っている最中に火災警報が鳴り始めた。監査範囲は災害復旧を含んでいるため、監査人はデータセンターのスタッフが警報に対応しているのを目撃する。このシナリオを完了するためにデータセンターのスタッフが行うべき最も重要な行動は次のどれか
データセンターの全ての人物が避難することを確保する
30
IT災害復旧テストをレビューする際における情報システム監査人の最大の懸念事項は、次のどの問題であるか
テスト中に1部のバックアップシステムに欠陥が発生したり、正常に作動せず、これらのシステムのテストが失敗した
31
目標復旧時間が長い機密性の高いシステムに対する最も適切な普及戦略は、次のどれか
コールドサイト
32
ホット、ウォーム、またはコールドサイト付きの契約の契約条項は主に次のどの考慮事項に対処すべきか
同時にサイトを使用することを許可されている契約先の数
33
情報システム監査人は、営業時間中のパフォーマンスが低下している為、インターネット帯域幅の引き上げを検討している組織のネットワークパフォーマンスを評価している。パフォーマンス低下の原因として最も可能性の高いものは次のどれか
許可のないNetwork Activity
34
ファイルサーバーでRAIDレベル1を導入する主な目的は、次のどれか
データの可用性を確保するため
35
最近行われたアプリケーション導入の導入レビューにおいて誤った優先順位が割り当てられたインシデントがあり、このことが原因でサービス内容合意書に準拠できなかったことが判明した。この場合、最大の懸念となるのは次のどれか
サポートモデルの適切な開発導入が行われていない
36
通信の継続性を確保する方法は、いくつかある。スプリットケーブル設備又は重複ケーブル設備を介してトラフィックをルーティングする方法は次のどれか
多重ルーティング
37
災害時にトランザクションの可用性を確保するのは、次のどれか
トランザクションをリアルタイムでオフサイトに伝送する
38
情報システム監査人が金融機関によって使用されている災害復旧のホットサイトをレビューしている。最大の懸念材料は、次のどれか
ディスク領域の使用率データが最新状態に保たれていない
39
相手の変更により大規模組織の災害復旧計画が変更された新しい計画がテストされない場合における主なリスクは、次のどれか
壊滅的なサービス中断
40
ある情報システム監査人が複数のアプリケーションが同じサーバーで稼働していることに気づいた。サーバーの目標復旧時間は以下のいずれとなるか
RTOが最も短いアプリケーションに基づく
41
情報システム監査人は予算の限られた組織の緊急変更管理手順の設計を支援している。システムサポート担当者の説明責任を確立する上でもっとも役に立つ提案は次のどれか
必要に応じて各サポートの個人IDに本番へのアクセス権限を与える
42
Eコマースアーキテクチャを監査中に情報システム監査人は、クライアントのマスターデータが直近の取引の後六カ月間保管され、その後操作がない場合に削除されることに気づいた、情報システム監査人にとっての第1の懸念事項は、次のどれか
顧客データの機密性
43
業務継続計画の一環として、組織がビジネスインパクト分析を完了した。このプロセスの次の段階は、次のどれを策定することか
業務継続戦略
44
計画が効果的である証拠をコスト効率的に実証するために、システムクラッシュをシミュレートして実際のリソースを使用する継続計画テストは次のどれか
準備テスト
45
二つのシステム間の情報交換にウェブサービスを使用する最大の利点は、次のどれか
効率の良い相互通信
46
組織の最適化災害復旧計画はどうあるべきか
復旧時間の長さ及び復旧コストを削減する
47
目標復旧時間の延長に伴うのは、次のどれか
耐災害性が増加する
48
目標復旧ポイントを定義する際、最も重要な考慮事項は次のどれか
データ損失の許容範囲
49
複数の国にitオペレーションセンターがある組織で中断のないオペレーションを確保する最も良い方法は、次のどれか
業務継続計画に関する従業員の研修
50
アプリケーションの監査時に情報システム監査人はデータベースの参照整合性の保証を提供するよう求められた、レビューすべき事項は、次のどれか
外部キー構造
51
組織の災害復旧計画に相互援助協定が含まれている場合、適用されるリスク対処法は次のどれか
低減
52
予防的コンピュータメンテナンスプログラムの効果および妥当性の評価の際に、情報システム監査人が最も役立つと思うものは次のどれか
システムダウンタイムログ
53
業務継続計画の完全なシミュレーションを監視している最中に、情報システム監査人は組織施設内の通知システムがインフラストラクチャーの損害によってかなり影響を受けることに気づいた。情報システム監査人が組織に提供できる最良の推奨事項は、次のどれを確保することか
冗長性を通知システムに構築する
54
サービス中断インシデントの重大度を判断するための主な基準は、次のどれか
ダウンタイム
55
情報システム監査人はitマネージャーがコストを削減するために最近重要なコンピューターシステムのメンテナンスを実施する責任があるベンダーを別のベンダーに変更したことに気づいた。新しいベンダーの方が低コストだがかかる新規メンテナンス契約では元のベンダーによって指定されたインシデント解決時間とは異なる時間が設定されている。情報システム監査人が最も懸念すべき事項は次のどれか
アプリケーションのオーナーが変更について知らされていない
56
業務継続計画プロセスの一環としてビジネスインパクト分析において、最初に特定するべき事項は次のどれか
復旧の優先事項を把握するための重要なビジネスプロセス
57
ある企業はミッションクリティカルなアプリケーションの構成変更を処理するために特権的なアカウントを使用している。そのような場合のリスクを制限するために最良で適切なコントロールは以下のどれか
重要な変更について管理上の承認とレビューを行う
58
組織の災害復旧計画は、次のどれの早期復旧に関して対処すべきか
ビジネスマネジメントによって定義された優先順位に基づく処理
59
本番データベースでデータを直接更新する際の説明責任を確認する最良の方法は、次のどれか
監査ログのレビュー
60
情報システム監査人はミッションクリティカルなシステムの最新のセキュリティ関連ソフトウェアのパッチが二か月前にリリースされていたことに気づいたが、IT担当者はまだこのパッチをインストールしていない。情報システム監査人が行うべきことを次の中から選びなさい
パッチ管理ポリシーをレビューして、この状態に関連したリスクを判定する
61
ヘルスケア組織の情報システム監査人は、保護医療情報をホストすることを検討している、サードパーティーのクラウドプロバイダーの契約条項をレビューしている。顧客の組織にとって最大のリスクとなるのは次のどの契約条項か
サードパーティプロバイダーが特定の業務を実行するためのデータアクセス権を利用する
62
経営陣が、自らの災害復旧計画に2つの予測を立てた。計画Aは全復旧に2ヶ月かかり、計画Bは全復旧に8ヶ月かかる。目標復旧ポイントは両計画で同じである。計画Bは次のどれがより高くなることを予測しているか?
ダウンタイム費用
63
オープンソースのソフトウェアを使用している組織のアプリケーションシステムにはかかるシステムのパッチを開発している単一の認知された開発者がいない。オープンソースソフトウェアのアップデートを最も安全に行う方法は、次のどれか
パッチを適用する前に適切なパッチを識別およびテストする
64
ある組織の災害復旧計画レビューしている情報システム監査人が主に確認すべき事項は次のどれか
定期的にレビュー及び更新されている
65
効率的な業務継続計画に最も貢献するのは次のどれか
全てのユーザー部門が計画に関与している
66
情報処理施設における重大なインシデント後に、インシデント対応チームが最初に対応するのは、次のどれか
施設における封じ込め
67
顧客情報管理アプリケーションの監査実行中に情報システム監査人は営業のピーク時にその他の時間と比較してユーザーのシステムのログオンに長い時間がかかることに気づいた。ログオン後はシステムの平均応答時間は許容範囲内である。情報システム監査人が提案するのは次のどれか
認証サーバーの性能測定基準を確立する
68
osのセキュリティ設定を調べている情報システム監査人がレビューすべき事項はつぎのどれか
パラメーターの設定
69
本番環境の各アプリケーションシステムの重要性を判断するための最良の方法は、次のどれか
ビジネスインパクト分析を行う
70
データベースシステムの並行処理制御の目的は、次のどれか
二つのプロセスが同時に同じデータを更新しようと試みた場合においても完全性を確保すること
71
本番環境での実行に正しいバージョンのデータファイルが使用されたことを確認するため、情報システム監査人がレビューするべき事項は次のどれか
システムログ
72
情報システム監査人は組織の業務継続計画を最適化するためのビジネスインパクト分析を次のどれを決定するために提案するべきか
組織の存続を確保するための災害後に復旧する必要のあるビジネスプロセス
73
情報システム監査人が1部のユーザーが自分のPCに個人のソフトウェアをインストールしていることに気づいた。これはセキュリティポリシーでは明示的に禁止されていない。情報システム監査人がとるべき最もよいアプローチは次のどれを推奨することか
不正なソフトウェアに関する特定の記述が含まれるように、セキュリティポリシーを更新する
74
ある組織が新しいITサービスプロバイダーの利用を考慮している。監査の観点からして、レビューすべき最も重要な事項は、次のどれか
サービスプロバイダーとの間で提案されたサービス内容合意書(SLA)
75
データベース管理者が1部のテーブルのパフォーマンス問題を検出した、これは非正規化によって解決可能である。この状況は、次のどのリスクを高めるか
データインテグリティーの喪失
76
データウェアハウスに保存された特定の機密情報を保護するために情報システム監査人が提案するべき事項は次のどれか
列および行レベルの権限を導入する
77
業務継続計画プロセスにおいて、ビジネスインパクト分析を完了した後の次のステップはどれか
復旧戦略を策定すること
78
リレーショナルデータベースのメンテナンス中、トランザクションテーブル内の外部キーの複数の値が破損してしまった。これによって生じる問題は次のどれか
関与するトランザクションの詳細がマスターデータに関連しなくなり、これらのトランザクションが処理された時にエラーが発生してしまう
79
重要なITシステム障害が再発しないようにする最も良い方法は次のどれか
根本原因分析を実施する
80
重要なビジネスプロセスが、次に再開されるまでの許容範囲を識別するにあたって、適切なのは次のどれか
ダウンタイム費用及び復旧費用の両方が評価される必要がある
81
あるデータベース管理者によって実行された次のどの行動が別の人物によって実行されるべきか
データベースのアクティビティログの削除
82
航空座席予約システムの業務継続計画を設計する際、オフサイト施設のデータ転送/バックアップの最も適切な方法は、次のどれか
シャドウファイルプロセス
83
本番プログラムが不正に修正されたかどうか判断するために、情報システム監査人が使用するのは次のどれか
準拠性テスト
84
情報システム監査人が組織のデータベースのセキュリティをレビューしている。データベースの強化に対する最も重要な考慮事項は次のどれか
デフォルト設定が変更されていること
85
データファイル変更管理コントロールのレビュー時に例外事項を調べるために必要な調査時間を短縮するのに最も役立つのは次のどれか
トランザクションログ
86
リスク評価とビジネスインパクト分析の違いを示すものを、次の中から選びなさい
許容できるダウンタイムの決定
87
本番システムの変更管理システムの監査時に、情報システム監査人は変更管理プロセスが正式に文書化されていないこと、および特定の移行手順が失敗していることに気づいた。情報システム監査人は、最初に何を行うべきであるか
根本原因の分析によって、発見事項に対するより一層の保証を得る
88
ソフトウェアリリースのベースラインの記録を支援するために、情報システム監査人は次のどのプロセスを推奨するべきか
構成管理
89
業務継続計画の策定中、組織のビジネスプロセスを理解するために使用すべきツールは、次のどれか
リスクアセスメント
90
第3者が提供するサービスに関連して、企業の内部統制の存在および有効性を保証するのは、次のどれか
最新の独立した第3者による監査報告書
91
ITシステムの復旧に関する双方の合意のライブテストがビジネスユニットによる4時間もの集中的使用テストを含み実施された。テストは成功したが、次のどれに対して部分的な保証しか提供しないか
システムおよびIT運用チームは、緊急環境で運用を維持できる
92
情報システム監査人が業務継続計画監査を行う場合に最も重要なものは、次のどれか
人の安全に関する手順が設定されている
93
企業にとっての重要なプロセス目標復旧ポイントを特定する次の要素のうち、最も重要なのは次のどれか
許容できるデータ損失の範囲
94
情報システム監査人は監査の際に組織の業務継続計画が復旧プロセスにおいて適切に機密情報に対処していないことに気づいた。情報システム監査人は次のどの事項が含まれるよう計画を修正することを推奨するべきか
事業復旧手順が実施された場合に必要となる情報セキュリティの度合い
95
事業継続および災害復旧計画の第1の目的は、次のどれか
人命の保護
96
情報システム監査人は、組織が使用するOSのパッチがベンダーのアドバイスに基づいて、IT部門によって展開されたことに気づいた。この実践手法に関して情報システム監査人が懸念するべき最も大きな点はIT部門が次のいずれかを考慮していないということである:
パッチの影響をテストするまで展開を遅延させること
97
データベースのコントロールをレビューしている情報システム監査人は、通常の営業時間の際のデータベースへの変更が一連の標準手順によって処理されていることに気づいた。しかし通常の営業時間後に行われた変更には短縮されたステップしか必要とされなかった。この場合、適切な一連の補完的コントロールと考えられるのは次のどれ
変更を加えるためのDBAアカウントを使用し、変更ログを作成し、それを翌日にデビューする
98
他では代替することのできない情報を含むバックアップメディアの輸送中の紛失、または盗難のリスクを最も緩和するするのは次のどれか
複製を管理する
99
幅広い地域にわたって複数のオフィスを保有している組織が、災害復旧計画を策定した。実際のリソースを使った災害復旧計画の最も費用対効果が高いテストは次のどれか
準備テスト
100
通常の変更管理手続きを迂回する緊急変更が最も許容される場面は次のどれか
経営陣が変更が起こった後に変更をレビュー及び承認する