ドメイン3_②

100問 • 2年前

麻生元気

通報

問題一覧

101.定義された脅威に対処する必要があるが、予防的コントロールを実行できない場合、次に最良の選択肢は次のどの活動を実践することか?

B.エクスポージャを軽減する。

102.ある情報セキュリティマネージャーは、実行可能な脅威にさらされるネットワーク内で2台の同じサーバを管理しているが、一方のみを堅牢化することを決定した。この選択の最もありそうな理由は、2台目のサーバが:

C.エクスポージャがない場所に置かれているため

103.情報資産の効率的な管理によって最も強く支持されるのは、次のうちどれか?

D.ビジネス志向のリスクポリシー

104.脆弱性スキャンツールの利用において、最も重要な考慮事項は、次のうちどれか?

B.定期的なアップデート

105.無形資産の価値を決める際に最良の根拠は、次のうちどれか?

A.収益創出への貢献

106.臨時従業員が過剰なアクセス権を受け取らないことを確実にする最良の方法は、次のうちどれか?

D.役割ベースのアクセス・コントロール

107.セキュリティ意識向上プログラムの導入に関して、変化する側面を持っていると理解することが最も適切なのは次のどれか?

D.脅威と脆弱性

108.セキュリティポリシーを最も密接に整合させる必要があるのは、次のうちどれか?

B.組織のニーズ

109.異常ベースの侵入検知システム(IDS)が正しくインストールされているかを判断する最良の方法は、次のうちどれか?

A.攻撃のシミュレーションを行い、IDS性能をレビューする。

110.侵入テストを行う最良のタイミングは、次のうちどれか?

C.インフラストラクチャへの様々な変更が行われた後

111.情報セキュリティプログラムの開発において、中心的なプロジェクト活動は次のうちどれか?

D.コントロールの設計と展開

112.重大な損害を被る前に、ネットワーク侵入に成功する侵入者を発見するための最良の方法は、次のうちどれか?

D.ハニーポットをネットワークに設置する

113.セキュリティインシデントがコントロールに失敗した結果ではない場合、次のどの結果である可能性が最も高いか?

B.コントロールの欠如

114.ソーシャルエンジニアリングシナリオにおいて、許可されていないユーザがコンピューティングリソースへのアクセス権を取得する確率を下げる可能性が最も高いのは、次のうちどれか?

B.定期的なセキュリティ意識向上プログラムの実施

115.すべてのオプションが技術的に実現可能であると仮定すると、情報セキュリティマネージャーが重要な顧客向けサーバの過剰なエクスポージャに対処する際、最も効率的なアプローチは次のうちどれか?

B.攻撃ベクトルを減らす

116.特定のビジネスアプリケーションに必要な情報セキュリティのレベルを導入・維持する役割が最も適任なのは、次のうちどれか?

C.プロセスオーナー

117.予防的コントロールの目標を策定する際、第一に基準とすべきは:

A.事業体のリスク選好度と整合したリスクレベル

118.新しい従業員を対象としたセキュリティ意識向上トレーニングは、いつ行うべきか?

C.データへのアクセス権を取得する前

119.サーバに適用されるすべてのセキュリティパッチが適切に文書化されたことを確認するための最良の方法は何か?

C.OSパッチログに対する変更管理要求を追跡する。

120.セキュリティ意識向上の第一の目標は何か?

B.従業員の態度・行動に影響する。

121.元従業員による悪意のある行為を最も適切に予防するのは、次のうちどれか?

D.効率的な離職手順

122.侵入テストを実施する際、第一の関心領域は、次のうちどれか?

B.ネットワークマッピング

123.ある事業体では、復旧オプションとして、類似する事業体との相互援助契約を検討している。相互援助契約に伴う最大のリスクは、次のうちどれか?

C.インフラストラクチャと容量の類似性

124.臨時従業員が機密情報への許可されていないアクセス権を取得しないことを確実にするのに最も役立つ活動は何か?

B.システム管理の役割を与えることを避ける。

125.企業の情報セキュリティ意識向上プログラムの設計において、最も重要な成功要因は何か?

C.トップダウン型のアプローチ

126.機密ファイルを開くパスワードの提供を保護するための最も適切な方法は、次のうちどれか?

C.アウトオブバンドチャネル

127.ユーザが許可されていないユーザとファイルの共有することを防止するために最も効果的なアクセス・コントロール方法は何か?

A.強制

128.シグネチャ型侵入検知システムの本質的な弱点は、次のうちどれか?

B.新しい攻撃方法を検知しない

129.企業ネットワークが外部の攻撃に対して適切に保護されることを確実にするための最良の方法は、次のうちどれか?

D.定期的な侵入テストを行う。

130.ネットワークへの内部攻撃に対する最大のエクスポージャを示すのは、次のうちどれか?

C.ユーザパスワードが符号化されているが、暗号化されていない。

131.外部委託と補償を組み合わせることは:

D.財務リスクを軽減するが、法的な責任は残る。

132.コントロールが効果的なのは:

A.残存リスクが事業体の受容レベル内にあるとき

133.ある事業体では、特定されたリスクを下げるために複数のリスク軽減戦略を導入した。リスクコントロール対策が十分であるのは:

B.残存リスクがリスク受容レベル以下であるとき

134.データの分類を判断するための最良の方法は、次のうちどれか?

A.データオーナーが行うデータ漏洩による影響のアセスメント

135.ユーザがパスワードの複雑さに関する組織のセキュリティ要件を遵守することを確実にするための最良の方法は、次のうちどれか?

D.システムにより強制されるパスワード設定を使用する。

136.公開鍵インフラストラクチャにおいて、最も重大な単一障害点は次のうちどれか?

C.CAの秘密鍵

137.情報セキュリティを評価するための評価指標を使用する第一の理由は何か?

C.安定した着実な改善を可能にするため

138.すべてのファイヤウォールルールおよびルータ構成の設定が適切であることを確認するための最良の方法は何か?

C.定期的に侵入テストを実施すること

139.セキュリティ意識向上プログラムの有効性を測定する際、最も重要なことは次のうちどれか?

B.ユーザの理解力を試す定量的評価

140.攻撃および侵入テストを実施するために第三者のコンサルタントと契約する際、最も重要な行動は次のうちどれか?

D.明確な行動規範を確立する。

141.ユーザがデスクトップコンピュータからファイルをコピーする際、ユニバーサルシリアルバス(USB)ドライブを使用することを最も適切に防止するのは、次のうちどれか?

A.すべてのパソコンのドライブ割り当てを制限する。

142.コントロールとコントロール目標とのギャップを定期的に分析する必要があるのは:

B.エクスポージャの変化に対処するため

143.ある大口の取引相手は、内部ネットワークへのアクセス権を持っているが、その環境内の深刻な情報セキュリティエクスポージャを改善することに消極的であるか、不可能であると考えている。最良の提案は次のうちどれか?

C.取引先からのトラフィックを制限するファイヤウォールルールを設定する。

144.事業体全体の暗号利用に関する標準書/手順書は、何を達成すべきか?

A.暗号化が必要な状況を定義すべきである。

145.新しくインストールされた侵入検知システムで関値を低い値に設定してチューニングすることに失敗した場合、最も即座に現れる結果は次のうちどれか?

A.フォルス・ポジティブの数が増える

146.プログラムの緊急変更の取り扱いに関する最も適切な変更管理手順は何か?

C.変更後に書類を記入して承認を得る。

147.リスク管理活動の優先順位付けを必要としている事業体にとって、最大の課題となるのは次のうちどれか?

D.情報資産の不正確な価値評価

148.情報セキュリティフレームワークのほとんどでは、情報セキュリティプログラムの開発を何から始めるものと明記しているか?

C.リスクアセスメントとコントロール目標

149.自動消火システムを選定する際に最も重要な考慮事項は、次のうちどれか?

C.リソースの損傷

150.ある重要デバイスには、一組のユーザIDとパスワードが付与されており、そのデバイスにアクセスするには複数のユーザで共有する必要がある。　　情報セキュリティマネージャーは、デバイスへのアクセスを許可されたユーザのみに制限することを保証するように命じられた。　　これを達成する上で最も効果的な手段は、次のうちどれか?

A.十分な認証機能を備えた別のデバイスを介してアクセスすることを有効にする。

151.BYOD(BringYourOwnDevice)の使用に関するポリシーに含めるべき事項は:

B.デバイスの機密データを保護する要件

152.情報セキュリティマネージャーが外部委託先のサービスプロバイダと交渉する必要がある最も重要なプロセスは、次のうちどれか?

A.独立したセキュリティレビューを行う権限

153.物理的アクセスのテールゲーティング/ピギーバッキングを防止する際、最も効果的なりリソースは次のうちどれか?

C.意識向上トレーニング

154.小グループによる管理者特権への共有アクセスが必要な場合ビジネスクリティカルなアプリケーションで十分な職務の分離を導入するための最良のアプローチは何か?

B.アプリケーション内で役割ベースのアクセス・コントロールを導入する。

155.リスクベースの情報セキュリティプログラムを初期導入する際、第一の推進要素は次のうちどれか?

A.優先順位付け

156.可用性を第一の懸念としている事業体において、パッチ管理手順の最も重要な成功要因は何か?

A.展開前のテスト期間

157.情報セキュリティ手順の設計では、それを機能的で正確なものにするために、誰が含まれるベきか?

C.運用チーム

158.情報セキュリティマネージャーは、アクセス・コントロール・リストをレビューし、部門全体に特権アクセスが付与されていることを確認した。　　情報セキュリティマネージャーが最初にすべきことは、次のうちどれか?

C.ビジネスニーズを理解するためにデータオーナーと打ち合わせをする。

159.ブラック・ボックス型侵入テストを開始する前に配置しておくべきなのは、次のうちどれか?

C.明確に定められた範囲の定義

160.確認されたネットワーク侵入の通知が、コントロールが適切に機能していることを示すのは、次のどの種類のコントロールに対してか?

C.発見的

161.訴訟の際のeディスカバリ(電子情報開示)の実質的および潜在的な影響を抑制する最も効果的な方法は:

D.包括的な保全ポリシーを開発・適用する。

162.情報の機密性を最も適切に保護するのは、次のうちどれか?

C.最小特権

163.データベースサーバに保存され、IT部門のデータベース管理者によって管理されている会計帳簿データの正しい分類を判断するべき人物は次のうち誰か?

B.財務部長

164.ある企業では、サーバの更新、監査ログのレビュー、アクセス・コントロールの保守を1人の従業員に任せている。　　最良の補完的コントロールは次のうちどれか?

A.承認された変更のみが行われたことを確認する。

165.情報セキュリティ計画の策定において、最初のステップとすべきは次のうちどれか?

B.現行のビジネス戦略の分析を行う。

166.機密性、完全性、可用性(CIA)の3要素のうち、どれが最も重要であるかを決めることが必要な作業になるのは:

B.コントロールポリシーを策定しているとき。

167.効果的な評価指標の策定において、最も欠かせない特性は次のうちどれか?

B.受領者にとって意味がある

168.職務の分離の有効性が最も深刻に損なわれるのは:

B.アクセス特権が過去の職務から累積している場合

169.アプリケーション・プログラマが本番稼働データへのアクセスを要求する状況を最も良く軽減するのは、次のうちどれか?

B.監督者によるレビューのために、すべてのプログラマの活動のログを取る。

170.外部委託のプロバイダと契約する前に、データ分類要件に関連して、どのような対応をすべきか?データ分類要件が:

D.契約書に明記されていることを確実にする。

171.過剰な数のファイヤウォールルールが存在する場合、最大のリスクは何か?

A.チェーン内で1つのルールが別のルールを無効にし、抜け穴が発生する。

172.自由裁量度が最も高い可能性があるのは、次のうちどれか?

C.ガイドライン

173.技術の変化に応じて変更されることが滅多にないのは、次のうちどれか?

C.ポリシー

174.雇用契約の終了時にデータ保護を確実にするための最良の方法は何か?

D.すべての論理アクセスの取り消しを確実にする。

175.セキュリティ手順を正式に文書化する最も重要な理由は何か?

A.プロセスが反復可能であり、持続可能であることを確実にするため

176.保有する知的財産の保護を希望している事業体にとって、最良のアプローチは、次のうちどれか?

D.必要最小限の開示に基づきアクセスを制限する。

177.効果的なデータ保護戦略を作成するとき、情報セキュリティマネージャーは各段階でデータフローとその保護を理解しなければならない。　　これを実現する最善の手段は:

B.エクスポージャに基づいてカスタマイズされた方法論

178.本番稼働ファイルに対する完全な管理特権が設定されたアカウントに、ソフトウェア開発チームのメンバーがアクセスできることが分かった。　　このアカウントは、開発者がソフトウェアのテスト用に機密ではない本番稼働データをダウンロードするために作成された。　　すべての選択肢が実現可能であることを想定した場合、情報セキュリティマネージャーが推奨するべき提案は次のうちどれか?

A.アカウントアクセスを読み取り専用に制限する。

179.セキュリティコントロールが効果的に実行されていることを最も的確に示すのは、次のうちどれか?

A.月間サービスレベル統計が、セキュリティ問題からの影響が最小限に抑えられていることを示す。

180.職務分離(SoD)が設計され、買掛金システムに導入された。SoDの有効性を最も適切に維持するために整備すべきことは、次のうちどれか?

D.オペレータの役割が変わるたびにアクセス特権をレビューする。

181.セキュリティパッチが何度も配布された後、複数の事業部が部門内のシステムで問題が発生したことを報告してきた。　　この問題を処理するための最初のステップは何か?

A.問題を調査し、必要であればロールバック手順を確立する。

182.情報セキュリティマネージャーにとって、情報セキュリティフレームワークが最も有益である理由は:

C.構造とガイダンスを与えるため

183.継続監視が最良のオプションであるのは、次のどの状況においてか?

A.インシデントの影響と頻度が高い可能性がある場合

184.職務記述書をデータアクセスの種類に関連付けている情報セキュリティマネージャーは、次のうちどの情報セキュリティ原則に従う可能性が最も高いか?

B.均衡

185.ファイヤウォールルールをレビューする情報セキュリティマネージャーにとって、最大の懸念事項は何か?

A.ファイヤウォールが、ソースルーティングを許可する。

186.スタッフのセキュリティ意識向上を促進する際に最も費用対効果の高い手段は何か?

B.ユーザ研修とトレーニング

187.許可されていない人物が許可された人物に便乗してセキュリティで保護された入口を通ること(テールゲーティング/ピギーバッキング)を防止する際に最も効果的なのは、次のうちどれか?

D.意識向上トレーニング

188.データオーナーは、ユーザが持つアクセス権と許可権の種類をどのようにして決めるか?

D.事業ニーズに対応させる

189.適切に設計された情報セキュリティ意識向上コースの結果として、最も可能性が高いのは次のうちどれか?

A.インシデント対応部門へのセキュリティインシデント報告件数の増加

190.新しい一般従業員向けの情報セキュリティ意識向上トレーニングプログラムに含めると最も良いのは、次のうちどれか?

B.強力なパスワードを作成する方法の検討

191.情報セキュリティ向け継続的向上プログラムの重要な構成要素は何か?

A.プログラム評価指標

192.ある事業体は、ERPシステムを導入し、各部門の従業員500名に使用されている。　最も適切なアクセス・コントロール・アプローチは、次のうちどれか?

D.役割ベース

193.ある事業体では、自社の企業ウェブサイトをホスティングするために、外部サービスプロバイダと契約することを計画している。　　情報セキュリティマネージャーにとって最も重要な考慮事項は、次のことを確実にすることである。

C.契約要件にサービスプロバイダがセキュリティポリシーを遵守する義務が含まれていること。

194.侵入テストを実施するために外部企業と契約する主な目標は、次のうちどれか?

C.セキュリティエクスポージャを独立した観点から見るため

195.優れたをセキュリティポリシーの最も重要な特徴は:

C.組織の目標と合致していること

196.事業体の従業員の間でセキュリティ意識を向上させるのは、次のうちどれか?

D.セキュリティポリシーを継続的に補強する

197.大企業でパスワード強度を確保するための最も適切な方法は、次のうちどれか?

D.プラットフォームごとの自動パスワード強度判定

198.情報セキュリティ管理プロセスを向上するための最善のアプローチは、次のうちどれか?

C.セキュリティ評価指標を定義し、監視する。

199.情報セキュリティプログラムを測定して監視する際、どんな評価指標に基づくべきか?

C.セキュリティ目標

100

200.経営者に情報セキュリティプログラムへの投資を説得する際、最も正当な理由は次のうちどれか?

D.事業価値の増加

電気分野確認

電気分野確認

食品加工実習

食品加工実習

nace 1

nace 1

ブラックエプロン②(LNB~BNA)

ブラックエプロン②(LNB~BNA)

財務諸表論　理論

財務諸表論　理論

消防救助

消防救助

ドローン

ドローン

車両救助

車両救助

酸欠

酸欠

都市型ロープレスキュー

都市型ロープレスキュー

車両救助

車両救助

スイフトウォーターレスキュー

スイフトウォーターレスキュー

資機材

資機材

土砂と防災

土砂と防災

酸欠

酸欠

都市型ロープレスキュー

都市型ロープレスキュー

消防救助

消防救助

スイフトウォーターレスキュー

スイフトウォーターレスキュー

資機材

資機材

問題一覧

101.定義された脅威に対処する必要があるが、予防的コントロールを実行できない場合、次に最良の選択肢は次のどの活動を実践することか?

B.エクスポージャを軽減する。

C.エクスポージャがない場所に置かれているため

103.情報資産の効率的な管理によって最も強く支持されるのは、次のうちどれか?

D.ビジネス志向のリスクポリシー

104.脆弱性スキャンツールの利用において、最も重要な考慮事項は、次のうちどれか?

B.定期的なアップデート

105.無形資産の価値を決める際に最良の根拠は、次のうちどれか?

A.収益創出への貢献

106.臨時従業員が過剰なアクセス権を受け取らないことを確実にする最良の方法は、次のうちどれか?

D.役割ベースのアクセス・コントロール

107.セキュリティ意識向上プログラムの導入に関して、変化する側面を持っていると理解することが最も適切なのは次のどれか?

D.脅威と脆弱性

108.セキュリティポリシーを最も密接に整合させる必要があるのは、次のうちどれか?

B.組織のニーズ

109.異常ベースの侵入検知システム(IDS)が正しくインストールされているかを判断する最良の方法は、次のうちどれか?

A.攻撃のシミュレーションを行い、IDS性能をレビューする。

110.侵入テストを行う最良のタイミングは、次のうちどれか?

C.インフラストラクチャへの様々な変更が行われた後

111.情報セキュリティプログラムの開発において、中心的なプロジェクト活動は次のうちどれか?

D.コントロールの設計と展開

112.重大な損害を被る前に、ネットワーク侵入に成功する侵入者を発見するための最良の方法は、次のうちどれか?

D.ハニーポットをネットワークに設置する

113.セキュリティインシデントがコントロールに失敗した結果ではない場合、次のどの結果である可能性が最も高いか?

B.コントロールの欠如

B.定期的なセキュリティ意識向上プログラムの実施

B.攻撃ベクトルを減らす

116.特定のビジネスアプリケーションに必要な情報セキュリティのレベルを導入・維持する役割が最も適任なのは、次のうちどれか?

C.プロセスオーナー

117.予防的コントロールの目標を策定する際、第一に基準とすべきは:

A.事業体のリスク選好度と整合したリスクレベル

118.新しい従業員を対象としたセキュリティ意識向上トレーニングは、いつ行うべきか?

C.データへのアクセス権を取得する前

119.サーバに適用されるすべてのセキュリティパッチが適切に文書化されたことを確認するための最良の方法は何か?

C.OSパッチログに対する変更管理要求を追跡する。

120.セキュリティ意識向上の第一の目標は何か?

B.従業員の態度・行動に影響する。

121.元従業員による悪意のある行為を最も適切に予防するのは、次のうちどれか?

D.効率的な離職手順

122.侵入テストを実施する際、第一の関心領域は、次のうちどれか?

B.ネットワークマッピング

C.インフラストラクチャと容量の類似性

124.臨時従業員が機密情報への許可されていないアクセス権を取得しないことを確実にするのに最も役立つ活動は何か?

B.システム管理の役割を与えることを避ける。

125.企業の情報セキュリティ意識向上プログラムの設計において、最も重要な成功要因は何か?

C.トップダウン型のアプローチ

126.機密ファイルを開くパスワードの提供を保護するための最も適切な方法は、次のうちどれか?

C.アウトオブバンドチャネル

127.ユーザが許可されていないユーザとファイルの共有することを防止するために最も効果的なアクセス・コントロール方法は何か?

A.強制

128.シグネチャ型侵入検知システムの本質的な弱点は、次のうちどれか?

B.新しい攻撃方法を検知しない

129.企業ネットワークが外部の攻撃に対して適切に保護されることを確実にするための最良の方法は、次のうちどれか?

D.定期的な侵入テストを行う。

130.ネットワークへの内部攻撃に対する最大のエクスポージャを示すのは、次のうちどれか?

C.ユーザパスワードが符号化されているが、暗号化されていない。

131.外部委託と補償を組み合わせることは:

D.財務リスクを軽減するが、法的な責任は残る。

132.コントロールが効果的なのは:

A.残存リスクが事業体の受容レベル内にあるとき

133.ある事業体では、特定されたリスクを下げるために複数のリスク軽減戦略を導入した。リスクコントロール対策が十分であるのは:

B.残存リスクがリスク受容レベル以下であるとき

134.データの分類を判断するための最良の方法は、次のうちどれか?

A.データオーナーが行うデータ漏洩による影響のアセスメント

135.ユーザがパスワードの複雑さに関する組織のセキュリティ要件を遵守することを確実にするための最良の方法は、次のうちどれか?

D.システムにより強制されるパスワード設定を使用する。

136.公開鍵インフラストラクチャにおいて、最も重大な単一障害点は次のうちどれか?

C.CAの秘密鍵

137.情報セキュリティを評価するための評価指標を使用する第一の理由は何か?

C.安定した着実な改善を可能にするため

138.すべてのファイヤウォールルールおよびルータ構成の設定が適切であることを確認するための最良の方法は何か?

C.定期的に侵入テストを実施すること

139.セキュリティ意識向上プログラムの有効性を測定する際、最も重要なことは次のうちどれか?

B.ユーザの理解力を試す定量的評価

140.攻撃および侵入テストを実施するために第三者のコンサルタントと契約する際、最も重要な行動は次のうちどれか?

D.明確な行動規範を確立する。

A.すべてのパソコンのドライブ割り当てを制限する。

142.コントロールとコントロール目標とのギャップを定期的に分析する必要があるのは:

B.エクスポージャの変化に対処するため

C.取引先からのトラフィックを制限するファイヤウォールルールを設定する。

144.事業体全体の暗号利用に関する標準書/手順書は、何を達成すべきか?

A.暗号化が必要な状況を定義すべきである。

A.フォルス・ポジティブの数が増える

146.プログラムの緊急変更の取り扱いに関する最も適切な変更管理手順は何か?

C.変更後に書類を記入して承認を得る。

147.リスク管理活動の優先順位付けを必要としている事業体にとって、最大の課題となるのは次のうちどれか?

D.情報資産の不正確な価値評価

148.情報セキュリティフレームワークのほとんどでは、情報セキュリティプログラムの開発を何から始めるものと明記しているか?

C.リスクアセスメントとコントロール目標

149.自動消火システムを選定する際に最も重要な考慮事項は、次のうちどれか?

C.リソースの損傷

A.十分な認証機能を備えた別のデバイスを介してアクセスすることを有効にする。

151.BYOD(BringYourOwnDevice)の使用に関するポリシーに含めるべき事項は:

B.デバイスの機密データを保護する要件

152.情報セキュリティマネージャーが外部委託先のサービスプロバイダと交渉する必要がある最も重要なプロセスは、次のうちどれか?

A.独立したセキュリティレビューを行う権限

153.物理的アクセスのテールゲーティング/ピギーバッキングを防止する際、最も効果的なりリソースは次のうちどれか?

C.意識向上トレーニング

B.アプリケーション内で役割ベースのアクセス・コントロールを導入する。

155.リスクベースの情報セキュリティプログラムを初期導入する際、第一の推進要素は次のうちどれか?

A.優先順位付け

156.可用性を第一の懸念としている事業体において、パッチ管理手順の最も重要な成功要因は何か?

A.展開前のテスト期間

157.情報セキュリティ手順の設計では、それを機能的で正確なものにするために、誰が含まれるベきか?

C.運用チーム

C.ビジネスニーズを理解するためにデータオーナーと打ち合わせをする。

159.ブラック・ボックス型侵入テストを開始する前に配置しておくべきなのは、次のうちどれか?

C.明確に定められた範囲の定義

160.確認されたネットワーク侵入の通知が、コントロールが適切に機能していることを示すのは、次のどの種類のコントロールに対してか?

C.発見的

161.訴訟の際のeディスカバリ(電子情報開示)の実質的および潜在的な影響を抑制する最も効果的な方法は:

D.包括的な保全ポリシーを開発・適用する。

162.情報の機密性を最も適切に保護するのは、次のうちどれか?

C.最小特権

B.財務部長

A.承認された変更のみが行われたことを確認する。

165.情報セキュリティ計画の策定において、最初のステップとすべきは次のうちどれか?

B.現行のビジネス戦略の分析を行う。

166.機密性、完全性、可用性(CIA)の3要素のうち、どれが最も重要であるかを決めることが必要な作業になるのは:

B.コントロールポリシーを策定しているとき。

167.効果的な評価指標の策定において、最も欠かせない特性は次のうちどれか?

B.受領者にとって意味がある

168.職務の分離の有効性が最も深刻に損なわれるのは:

B.アクセス特権が過去の職務から累積している場合

169.アプリケーション・プログラマが本番稼働データへのアクセスを要求する状況を最も良く軽減するのは、次のうちどれか?

B.監督者によるレビューのために、すべてのプログラマの活動のログを取る。

170.外部委託のプロバイダと契約する前に、データ分類要件に関連して、どのような対応をすべきか?データ分類要件が:

D.契約書に明記されていることを確実にする。

171.過剰な数のファイヤウォールルールが存在する場合、最大のリスクは何か?

A.チェーン内で1つのルールが別のルールを無効にし、抜け穴が発生する。

172.自由裁量度が最も高い可能性があるのは、次のうちどれか?

C.ガイドライン

173.技術の変化に応じて変更されることが滅多にないのは、次のうちどれか?

C.ポリシー

174.雇用契約の終了時にデータ保護を確実にするための最良の方法は何か?

D.すべての論理アクセスの取り消しを確実にする。

175.セキュリティ手順を正式に文書化する最も重要な理由は何か?

A.プロセスが反復可能であり、持続可能であることを確実にするため

176.保有する知的財産の保護を希望している事業体にとって、最良のアプローチは、次のうちどれか?

D.必要最小限の開示に基づきアクセスを制限する。

B.エクスポージャに基づいてカスタマイズされた方法論

A.アカウントアクセスを読み取り専用に制限する。

179.セキュリティコントロールが効果的に実行されていることを最も的確に示すのは、次のうちどれか?

A.月間サービスレベル統計が、セキュリティ問題からの影響が最小限に抑えられていることを示す。

180.職務分離(SoD)が設計され、買掛金システムに導入された。SoDの有効性を最も適切に維持するために整備すべきことは、次のうちどれか?

D.オペレータの役割が変わるたびにアクセス特権をレビューする。

A.問題を調査し、必要であればロールバック手順を確立する。

182.情報セキュリティマネージャーにとって、情報セキュリティフレームワークが最も有益である理由は:

C.構造とガイダンスを与えるため

183.継続監視が最良のオプションであるのは、次のどの状況においてか?

A.インシデントの影響と頻度が高い可能性がある場合

B.均衡

185.ファイヤウォールルールをレビューする情報セキュリティマネージャーにとって、最大の懸念事項は何か?

A.ファイヤウォールが、ソースルーティングを許可する。

186.スタッフのセキュリティ意識向上を促進する際に最も費用対効果の高い手段は何か?

B.ユーザ研修とトレーニング

D.意識向上トレーニング

188.データオーナーは、ユーザが持つアクセス権と許可権の種類をどのようにして決めるか?

D.事業ニーズに対応させる

189.適切に設計された情報セキュリティ意識向上コースの結果として、最も可能性が高いのは次のうちどれか?

A.インシデント対応部門へのセキュリティインシデント報告件数の増加

190.新しい一般従業員向けの情報セキュリティ意識向上トレーニングプログラムに含めると最も良いのは、次のうちどれか?

B.強力なパスワードを作成する方法の検討

191.情報セキュリティ向け継続的向上プログラムの重要な構成要素は何か?

A.プログラム評価指標

D.役割ベース

C.契約要件にサービスプロバイダがセキュリティポリシーを遵守する義務が含まれていること。

194.侵入テストを実施するために外部企業と契約する主な目標は、次のうちどれか?

C.セキュリティエクスポージャを独立した観点から見るため

195.優れたをセキュリティポリシーの最も重要な特徴は:

C.組織の目標と合致していること

196.事業体の従業員の間でセキュリティ意識を向上させるのは、次のうちどれか?

D.セキュリティポリシーを継続的に補強する

197.大企業でパスワード強度を確保するための最も適切な方法は、次のうちどれか?

D.プラットフォームごとの自動パスワード強度判定

198.情報セキュリティ管理プロセスを向上するための最善のアプローチは、次のうちどれか?

C.セキュリティ評価指標を定義し、監視する。

199.情報セキュリティプログラムを測定して監視する際、どんな評価指標に基づくべきか?

C.セキュリティ目標

100

200.経営者に情報セキュリティプログラムへの投資を説得する際、最も正当な理由は次のうちどれか?

D.事業価値の増加