ドメイン3_③

100問 • 2年前

麻生元気

通報

問題一覧

201.ある事業体は、顧客への郵送作業について新しいビジネスパートナーと契約を締結しようとしている。　　情報セキュリティマネージャーが実行する必要がある最も重要な行動は何か?

C.サードパーティが関連するすべてのセキュリティ要件を満たすことが契約で義務付けられていることの確認

202.給与処理を外部委託しているある事業体では、ポリシー要件に従って第三者のセキュリティコントロールについて独立したアセスメントを実施する必要がある。契約書に記載する最も有益な要件は、次のうちどれか?

A.監査権限

203.外部委託されたITサービスの継続的なセキュリティを確保する上で、最も重要な活動は次のうちどれか?

B.サードパーティプロバイダを対象とした定期的なセキュリティレビューを行う。

204.仮想デスクトップインフラストラクチャは、リモートアクセスを可能にする。このアプローチのセキュリティ観点からの利点は:

B.リモートデスクトップの使用中、個人と組織データの分離を確立できる。

205.アプリケーション開発で変更を加える際にセキュリティリスクが再評価されることを最も確実にするのは、次のうちどれか?

C.変更管理プロセス

206.アクセス・コントロールと暗号化アルゴリズムが選択されるのは、次のシステム開発ライフサイクルのうち、どのフェーズか?

C.システム仕様設計

207.一般的に、情報セキュリティプログラムの基本構成要素と見なされるのは、次のうちどれか?

C.セキュリティ意識向上トレーニング

208.事業体の新しい情報セキュリティプログラムが目標を達成しているかどうかについて、事業体はどのようにして判断するか?

A.重要指標がインシデント影響の軽減を示す。

209.侵入テストに対してブラインド(ブラック・ボックス)型アプローチを使用する場合に比べ、全開示(ホワイト・ボックス)型アプローチを使用する利点は:

C.情報収集や偵察に費やす時間が少ない。

210.事業体がサービスレベル合意書に補償条項を含める可能性が最も高い理由は、補償条項が:

B.事業体への影響を抑えるため。

211.ユーザアカウントに対するオンライン総当たり攻撃を軽減する最良のアプローチは、次のうちどれか?

D.ロックアウトポリシーの導入

212.不満を持つスタッフが自分の持つ特権を悪用することを最も効果的に阻害する手段は、次のうちどれか?

C.署名付きの利用ポリシー

213.暗号化の利用とは対照的に、ステガノグラフィ技法を使用してメッセージを送信する利点は何か?

A.メッセージの存在が不明である。

214.最近変更されたウェブアプリケーションが不正アクセスを許可したと信じられる理由がある。　　アプリケーションのバック・ドアを特定する最良の方法はどれか?

C.ソースコードレビュー

215.ネットワークを監視するためにSNMPv2(Simple Network Management Protocol v2)を使用すると、一般的に取り込まれる脆弱性は次のうちどれか?

C.平文認証

216.プロジェクトの開発サイクルでセキュリティが対処すべき最初のフェーズは、次のうちどれか?

D.実現性分析

217.ある企業は、アクセス・コントロールを改善して欲しいという経営者の要求に応えて、すべての入口で生体認証指紋スキャナーを導入した。　　従業員の数とシステムの遅さが災いし、従業員が施設にアクセスを得るのにかなり時間を費やしてしまうため、従業員の間でピギーバッキングして施設に入ることが増えている。　　情報セキュリティマネージャーがこの問題に対処する際に最良の措置は何か?

B.問題を経営者にエスカレートする

218.コントロール監視プログラムの有効性を測定する際、最も有益な評価指標は次のうちどれか?

D.インシデントの発生から検出までの経過時間

219.経営者によって選択された情報セキュリティ標準の特定のプロセスを遵守していることを最も的確に示すのは:

C.重要業績評価指標

220.無線LAN技術を使用する場合、最も重大なセキュリティリスクとなるのは何か?

C.不正アクセスポイント

221.外部セキュリティ攻撃を最も良く防止するのは、次のうちどれか?

B.ネットワークアドレス変換(NAT)

222.情報セキュリティマネージャーは、事業目標を達成するために必要なコントロールの選択をどのようにして決めるか?

B.キーコントロールに焦点を当てる。

223.是正的コントロールの目的は何か?

C.影響の軽減

224.ハッカーの侵入を防止するためのポリシーと手順を定めることは、何に属する活動の事例であるか?

D.ガバナンス

225.情報資産を不要なリスクに晒すことなく、ハッカーの活動を検出して監視するための最良の方法は何か?

C.囮ファイル

226.情報セキュリティに対する従業員の態度および取り組みを改善する最良の方法は、次のうちどれか?

B.トレーニング方法を対象者に向けて調整する。

227.サービスの外部委託を検討する際、情報セキュリティがベンダー管理プロセスに関与するべきポイントはどこか?

C.要件の設定中

228.情報セキュリティマネージャーは、インターネットへのアクセスを監視し、様々なサイトへのアクセスを防止するために、セキュリティシステムの導入を決定した。　　インストールして間もなく、従業員からインターネットのサイトでビジネス機能を実行できないという苦情がITヘルプデスクに殺到した。　　これは何の例であるか?

A.セキュリティコントロールと組織のニーズとの矛盾

229.情報セキュリティプログラムの最も重要な成功要因は、次のうちどれか?

B.上級経営者の関与

230.情報セキュリティプログラムの開発は、どのようにして始まるか?

D.必要な結果が定義される。

231.情報セキュリティプログラムの開発において着手される中心的なプロジェクト活動を構成するのは、次のうちどれか?

A.コントロールの設計と展開

232.情報が分類され、特定の保護手段が講じられることを確実にすることの説明責任は、誰が負うか?

B.上級経営者

233.情報セキュリティは:

B.事業要件と技術的要件を両立するべきである。

234.情報セキュリティプログラムの開発時、情報セキュリティマネージャーが決定すべき最初の事項はどれか?

C.望ましい結果

235.データベース管理者がデータベースから機密データを引き出す際のリスクを軽減する最良の方法は、次のうちどれか?

B.アプリケーションレベルの暗号化を導入する。

236.大企業において、情報セキュリティ意識向上プログラムを最も効果的にする要素は何か?

C.プログラムが適切な配信チャネルを用いて、対象者に向けてカスタマイズされている。

237.セキュリティの支出と予算の優先順位を付ける際、第一の基礎は何か?

A.特定されたリスクのレベル

238.データバックアップポリシーに含まれるのは、次のうちどれか?

A.データバックアップ用の基準

239.セキュリティ意識向上トレーニング資料が意図した対象者へ効率的に配布されていることを確保する上で、最も適任なのは次のうちどれか?

D.情報セキュリティ部門

240.事業体の情報処理施設へのアクセスを新たな外部の者に許可することを決める際、最初に実行すべきことは次のうちどれか?

B.リスク評価

241.ある事業体にはサプライヤのネットワークがあり、重要なサプライチェーンデータを格納する重要なデータベースにリモートアクセスが可能である。　　システムへのアクセス権を持つサプライヤの担当者がこのシステム内の情報を不正に入手または改竄しないことを確実にするための最良のコントロールは何か?

A.ユーザアクセス権

242.クラウドコンピューティングベンダーの運用問題の解決を促進するためのサービスレベル合意書に含まれる最も重要な要素は、次のうちどれか?

D.責任の明確化

243.無線アクセスポイントのセキュリティを保護する際、機密性を最も良く保証するコントロールは、次のうちどれか?

D.無線上でのVPN使用の強制

244.上級経営者は、侵入防御システムを購入する予算を確保することに消極的である。　　最高情報セキュリティ責任者が行うべき行動は、次のうちどれか?

A.プロジェクト用のビジネス・ケースを作成して提示する。

245.バックエンドデータベースのアプリケーションでフォームベースの認証機構を迂回する可能性をユーザに一番提供するのは、次のうちどれか?

B.SQLインジェクション

246.セキュリティの観点から、従業員が他部署に転属される場合に最も重要なステップは次のうちどれか?

A.アクセス権のレビューと変更

247.磁気テープに保存された機密情報を消去する最良の方法は、次のうちどれか?

D.消磁する

248.エシカルハッキングが役立つ可能性が最も高いのは、次のうちどの目的の場合か?

C.レガシーアプリケーションのコントロール評価のため

249.ITサポートサービスを提供する新たなベンダーと契約が成立した。　　情報セキュリティマネージャーが次に実行されることを確認する必要のあるタスクは、次のうちどれか?

A.ベンダーの監視を確立する。

250.情報セキュリティにおいて正確な投資利益率を計算する際、最も重要なことは次のうちどれか?

C.金銭的価値を一貫して測定すること

251.監査ディレクターは、特定の情報セキュリティ監視ソリューションを情報セキュリティマネージャーに提案した。　　情報システム情報セキュリティマネージャーは最初に何をすべきか?

C.事業目標と目的との相関性を判定するために評価を行う。

252.情報分類スキームを設定するとき、情報所有者の役割は:

B.情報所有者の責任範囲内の情報の分類を決定する。

253.組織の情報セキュリティの目的と目標の正式な宣言を記載すべき文書は:

D.情報セキュリティポリシー

254.多国籍企業全体の情報セキュリティに影響を及ぼしかねない事象を特定する最も効果的なアプローチは、次のうちどれか?

C.事業体全体で連絡網を確立する。

255.監査中、情報セキュリティマネージャーは、営業担当者たちが電子メールで顧客の機密情報を送信していることを発見した。　　問題に対処するべき最善の措置は、次のうちどれか?

A.リスクと影響を評価するために、この発見を営業部長と共にレビューする。

256.データベースセキュリティの設定用最小要件を決めるための最善策は、次のうちどれか?

C.ベースライン

257.コンピュータ・ウイルスの感染により検査された電子メールメッセージの数と、感染したが捕捉されなかった電子メールメッセージの数を比較する場合、この評価指標の主な使用者は誰か?

D.情報セキュリティマネージャー

258.情報セキュリティポリシーに含むべき最も重要な項目は何か?

C.セキュリティプログラムの重要な目標

259.企業の情報セキュリティポリシーは:

C.簡単で分かりやすくあるべきである。

260.すべての従業員および請負業者に対し、各自の職位の機密度に応じた就業者の安全/適切性要件を満たし、身辺調査の対象になることを要求することは、何の例であるか?

A.セキュリティポリシー

261.優れた情報セキュリティポリシーにおいて最も重要な要素は、何を確実にすることか?

C.経営者の意図を捉えること。

262.セキュリティ戦略の有効性について、最良の評価基準を提供するのは、次のうちどれか?

D.コントロール目標の達成度

263.「紛失、窃取、不正アクセスおよび/または不正開示を防止するため、機密データを保護しなければならない」という一文が記載される可能性が最も高い文書は:

B.ポリシー

264.最も頻繁に更新される可能性が高いのは、次のうちどれか?

A.データベースサーバの堅牢化の手順

265.情報セキュリティ標準に含むべき最も重要な情報は、次のうちどれか?

D.最終レビュー日

266.事業体の人事システムのセキュリティを向上させるため、情報セキュリティマネージャーは、追加のパケットフィルタリング・ファイヤウォールまたはヒューリスティックス型侵入検知システムのいずれかを実装するという選択肢を提示された。　　予算に制限が設けられている場合、情報セキュリティマネージャーは2つの技術のうちどちらかを選ぶとしたら、何を基準に選ぶべきか?

D.費用便益分析

267.プログラム開発中にポリシーを変更する第一の理由は、次のうちどれか?

C.ポリシーが上級経営者の意図と指示を反映しなくなったから。

268.適切なプライバシー宣言に含めるべきものは、次のうちどれか?

C.会社は収集した情報をどのように扱うかの宣言

269.運用上の情報セキュリティプログラムを支援する際、最も必要な対応は、次のうちどれか?

A.手順を点検し、改訂すること。

270.事業体が第三者のITサービスプロバイダとの関係を構築しているとき、セキュリティの観点から契約書に含めるべき最も重要なトピックは、次のうちどれか?

D.事業体の情報セキュリティ要件への準拠

271.新規に雇用した情報セキュリティマネージャーは、既存の情報セキュリティの実践手法や手順がその場限りのように見えることに気付いた。　　この観測によると、情報セキュリティマネージャーが次に取るべき行動は:

C.企業の標準をレビューする。

272.集中型情報セキュリティ組織構造の特長は、次のうちどれか?

B.管理とコントロールが比較的簡単である。

273.上級経営者は、情報セキュリティプログラムの有効性について懸念を示している。　　上級経営者からプログラムに関する支持を得るために、情報セキュリティマネージャーは何を行うことができるか?

C.対処するべき懸念を特定するために上級経営者にインタビューする。

274.侵入検知システムをインストールする第一の目的は何か?

D.内部ネットワークに対する潜在的攻撃を特定するため

275.分散型セキュリティ管理の最大の利点は何か?

C.セキュリティと事業ニーズの整合性の改善

276.情報セキュリティマネージャーがセキュリティプログラムの結果を効率的に評価するために採用できる最良の評価指標は、次のうちどれか?

B.達成された目標の割合

277.戦略的価値となる可能性が最も高い指標は、次のうちどれか?

B.インシデントの発生頻度の傾向

278.別のユーザの公開鍵を取得するのは、次のどの活動を開始するために必要か?

C.認証

279.802.11無線ネットワーク向けの最も強力な暗号化および認証方式を提供する組み合わせは、次のうちどれか?

D.WPA2と802.1x認証

280.サービス拒否(DoS)攻撃または分散型サービス拒否攻撃を軽減するために必要な検出タイプは、次のうちどれか?

D.異常ベースの検出

281.送信電子メールの添付ファイルで機密情報が開示されるリスクを軽減するための最も効果的な技術的アプローチは:

A.コンテンツ・フィルタリングを導入すること。

282.ある事業体では、顧客が自身のユーザIDとパスワードを使ってログインする必要のある、サブスクリプションベースの教育サービスをオンラインで提供することを計画している。　　教材へのアクセス権が付与される前に顧客が入力したパスワードを検証するための最良の方法であるのは、次のうちどれか?

D.ハッシュ化

283.情報セキュリティインフラの開発において、多種多様な活動を統合する最善の方法は、何を開発することか?

B.アーキテクチャ

284.セキュリティ情報イベント管理システムの購入を決定した後、情報セキュリティマネージャーにとって最も重要なのは:

C.事業体の既存の調達プロセスを利用すること。

285.情報セキュリティポリシーを策定する上で最も重要なことは、次のうちどれか?

D.利害関係者の要求の収集

286.ある事業体では、情報セキュリティの専門家にネットワーク侵入テストの実施を依頼し、テスト対象のインフラに関する情報をその専門家に提供した。このアプローチの利点は:

A.フィンガープリンティングや調査ではなく、悪用対策へ割り当てられる時間が増える。

287.すべての重要な本番稼働サーバが最新のウイルスシグネチャファイルを活用していることを確認するための最良の方法は、次のうちどれか?

D.サーバをサンプリングし、シグネチャファイルが最新のものであるか確認する。

288.最近、ある事業体はアクセス・コントロール・ポリシーを策定し、承認した。アクセス・コントロール・ポリシーを従業員に伝達する際に最も効率的な方法は、次のうちどれか?

A.従業員にポリシーに関する正式な受領確認を要請する。

289.セキュリティベースラインの使用用途として最良であるのは:

B.統一的なシステム要塞化の確立

290.ある製薬企業の新しく指名された最高情報セキュリティ責任者(CISO)は、社内の全部門を対象とする情報セキュリティ手順の作成を依頼された。　　手順を作成するためにCISOが最初に連絡するべきグループは、次のうちどれか?

D.業務部門

291.特定の規制要件の遵守に対処する上で、最も適切なコントロールは、次のうちどれか?

B.標準

292.情報セキュリティ意識を強化するための最も効果的な方法は、次のうちどれか?

C.役割別の意識向上トレーニング

293.成熟した事業体では、次のどの手段によってセキュリティベースラインを推定できることが期待されるか?

C.コントロール目標が満たされている。

294.情報セキュリティマネージャーが開発の取り組みの結果に影響を与える絶好の機会を表すのは、社内開発のアプリケーション開発ライフサイクルにおけるどのフェーズであるか?

C.要件収集と分析

295.情報セキュリティマネージャーは、特権を持つユーザを監視するための規制要件を満たすために、システムデータベース管理者にネイティブデータベース監査の実施を命じた。　　データベース管理者が懸念を抱く第一の理由は、次のうちどれか?ネイティブデータベース監査は:

B.本番稼働データベースのパフォーマンスに影響を及ぼす。

296.フェールクローズ(セキュア)となるコントロールがリスクを提示する対象は:

D.可用性

297.給与処理を外部のサービスプロバイダに委託する場合、セキュリティの観点から考慮する必要がある最も重要な要素は、次のうちどれか?

B.プライバシー要件が満たされている。

298.情報セキュリティプログラムを初めて確立するときに最も重要なのは、マネージャーが:

C.事業体の全体的なエクスポージャを特定して評価すること。

299.デューデリジェンス要件が最も密接に関連付けられるのは、次のうちどれか?

C.適切な注意基準

100

300.コントロールをどの程度階層化すべきかに影響を与える要因は、次のうちどれか?

B.一般的な障害モード

ドメイン1_①

ドメイン1_①

ドメイン1_②

ドメイン1_②

ドメイン2_①

ドメイン2_①

ドメイン2_②

ドメイン2_②

ドメイン2_③

ドメイン2_③

ドメイン3_①

ドメイン3_①

ドメイン3_②

ドメイン3_②

ドメイン3_④

ドメイン3_④

ドメイン1

ドメイン1

ドメイン2

ドメイン2

ドメイン3

ドメイン3

ドメイン4

ドメイン4

ドメイン5

ドメイン5

ドメイン6

ドメイン6

ドメイン1_③

ドメイン1_③

ドメイン1_⑥

ドメイン1_⑥

ドメイン1_⑦

ドメイン1_⑦

ドメイン1_⑩

ドメイン1_⑩

ドメイン2_③

ドメイン2_③

ドメイン2_④

ドメイン2_④

ドメイン2_⑦

ドメイン2_⑦

ドメイン2_⑧

ドメイン2_⑧

問題一覧

C.サードパーティが関連するすべてのセキュリティ要件を満たすことが契約で義務付けられていることの確認

A.監査権限

203.外部委託されたITサービスの継続的なセキュリティを確保する上で、最も重要な活動は次のうちどれか?

B.サードパーティプロバイダを対象とした定期的なセキュリティレビューを行う。

204.仮想デスクトップインフラストラクチャは、リモートアクセスを可能にする。このアプローチのセキュリティ観点からの利点は:

B.リモートデスクトップの使用中、個人と組織データの分離を確立できる。

205.アプリケーション開発で変更を加える際にセキュリティリスクが再評価されることを最も確実にするのは、次のうちどれか?

C.変更管理プロセス

206.アクセス・コントロールと暗号化アルゴリズムが選択されるのは、次のシステム開発ライフサイクルのうち、どのフェーズか?

C.システム仕様設計

207.一般的に、情報セキュリティプログラムの基本構成要素と見なされるのは、次のうちどれか?

C.セキュリティ意識向上トレーニング

208.事業体の新しい情報セキュリティプログラムが目標を達成しているかどうかについて、事業体はどのようにして判断するか?

A.重要指標がインシデント影響の軽減を示す。

C.情報収集や偵察に費やす時間が少ない。

210.事業体がサービスレベル合意書に補償条項を含める可能性が最も高い理由は、補償条項が:

B.事業体への影響を抑えるため。

211.ユーザアカウントに対するオンライン総当たり攻撃を軽減する最良のアプローチは、次のうちどれか?

D.ロックアウトポリシーの導入

212.不満を持つスタッフが自分の持つ特権を悪用することを最も効果的に阻害する手段は、次のうちどれか?

C.署名付きの利用ポリシー

213.暗号化の利用とは対照的に、ステガノグラフィ技法を使用してメッセージを送信する利点は何か?

A.メッセージの存在が不明である。

C.ソースコードレビュー

215.ネットワークを監視するためにSNMPv2(Simple Network Management Protocol v2)を使用すると、一般的に取り込まれる脆弱性は次のうちどれか?

C.平文認証

216.プロジェクトの開発サイクルでセキュリティが対処すべき最初のフェーズは、次のうちどれか?

D.実現性分析

B.問題を経営者にエスカレートする

218.コントロール監視プログラムの有効性を測定する際、最も有益な評価指標は次のうちどれか?

D.インシデントの発生から検出までの経過時間

219.経営者によって選択された情報セキュリティ標準の特定のプロセスを遵守していることを最も的確に示すのは:

C.重要業績評価指標

220.無線LAN技術を使用する場合、最も重大なセキュリティリスクとなるのは何か?

C.不正アクセスポイント

221.外部セキュリティ攻撃を最も良く防止するのは、次のうちどれか?

B.ネットワークアドレス変換(NAT)

222.情報セキュリティマネージャーは、事業目標を達成するために必要なコントロールの選択をどのようにして決めるか?

B.キーコントロールに焦点を当てる。

223.是正的コントロールの目的は何か?

C.影響の軽減

224.ハッカーの侵入を防止するためのポリシーと手順を定めることは、何に属する活動の事例であるか?

D.ガバナンス

225.情報資産を不要なリスクに晒すことなく、ハッカーの活動を検出して監視するための最良の方法は何か?

C.囮ファイル

226.情報セキュリティに対する従業員の態度および取り組みを改善する最良の方法は、次のうちどれか?

B.トレーニング方法を対象者に向けて調整する。

227.サービスの外部委託を検討する際、情報セキュリティがベンダー管理プロセスに関与するべきポイントはどこか?

C.要件の設定中

A.セキュリティコントロールと組織のニーズとの矛盾

229.情報セキュリティプログラムの最も重要な成功要因は、次のうちどれか?

B.上級経営者の関与

230.情報セキュリティプログラムの開発は、どのようにして始まるか?

D.必要な結果が定義される。

231.情報セキュリティプログラムの開発において着手される中心的なプロジェクト活動を構成するのは、次のうちどれか?

A.コントロールの設計と展開

232.情報が分類され、特定の保護手段が講じられることを確実にすることの説明責任は、誰が負うか?

B.上級経営者

233.情報セキュリティは:

B.事業要件と技術的要件を両立するべきである。

234.情報セキュリティプログラムの開発時、情報セキュリティマネージャーが決定すべき最初の事項はどれか?

C.望ましい結果

235.データベース管理者がデータベースから機密データを引き出す際のリスクを軽減する最良の方法は、次のうちどれか?

B.アプリケーションレベルの暗号化を導入する。

236.大企業において、情報セキュリティ意識向上プログラムを最も効果的にする要素は何か?

C.プログラムが適切な配信チャネルを用いて、対象者に向けてカスタマイズされている。

237.セキュリティの支出と予算の優先順位を付ける際、第一の基礎は何か?

A.特定されたリスクのレベル

238.データバックアップポリシーに含まれるのは、次のうちどれか?

A.データバックアップ用の基準

239.セキュリティ意識向上トレーニング資料が意図した対象者へ効率的に配布されていることを確保する上で、最も適任なのは次のうちどれか?

D.情報セキュリティ部門

240.事業体の情報処理施設へのアクセスを新たな外部の者に許可することを決める際、最初に実行すべきことは次のうちどれか?

B.リスク評価

A.ユーザアクセス権

242.クラウドコンピューティングベンダーの運用問題の解決を促進するためのサービスレベル合意書に含まれる最も重要な要素は、次のうちどれか?

D.責任の明確化

243.無線アクセスポイントのセキュリティを保護する際、機密性を最も良く保証するコントロールは、次のうちどれか?

D.無線上でのVPN使用の強制

A.プロジェクト用のビジネス・ケースを作成して提示する。

245.バックエンドデータベースのアプリケーションでフォームベースの認証機構を迂回する可能性をユーザに一番提供するのは、次のうちどれか?

B.SQLインジェクション

246.セキュリティの観点から、従業員が他部署に転属される場合に最も重要なステップは次のうちどれか?

A.アクセス権のレビューと変更

247.磁気テープに保存された機密情報を消去する最良の方法は、次のうちどれか?

D.消磁する

248.エシカルハッキングが役立つ可能性が最も高いのは、次のうちどの目的の場合か?

C.レガシーアプリケーションのコントロール評価のため

A.ベンダーの監視を確立する。

250.情報セキュリティにおいて正確な投資利益率を計算する際、最も重要なことは次のうちどれか?

C.金銭的価値を一貫して測定すること

C.事業目標と目的との相関性を判定するために評価を行う。

252.情報分類スキームを設定するとき、情報所有者の役割は:

B.情報所有者の責任範囲内の情報の分類を決定する。

253.組織の情報セキュリティの目的と目標の正式な宣言を記載すべき文書は:

D.情報セキュリティポリシー

254.多国籍企業全体の情報セキュリティに影響を及ぼしかねない事象を特定する最も効果的なアプローチは、次のうちどれか?

C.事業体全体で連絡網を確立する。

A.リスクと影響を評価するために、この発見を営業部長と共にレビューする。

256.データベースセキュリティの設定用最小要件を決めるための最善策は、次のうちどれか?

C.ベースライン

D.情報セキュリティマネージャー

258.情報セキュリティポリシーに含むべき最も重要な項目は何か?

C.セキュリティプログラムの重要な目標

259.企業の情報セキュリティポリシーは:

C.簡単で分かりやすくあるべきである。

A.セキュリティポリシー

261.優れた情報セキュリティポリシーにおいて最も重要な要素は、何を確実にすることか?

C.経営者の意図を捉えること。

262.セキュリティ戦略の有効性について、最良の評価基準を提供するのは、次のうちどれか?

D.コントロール目標の達成度

B.ポリシー

264.最も頻繁に更新される可能性が高いのは、次のうちどれか?

A.データベースサーバの堅牢化の手順

265.情報セキュリティ標準に含むべき最も重要な情報は、次のうちどれか?

D.最終レビュー日

D.費用便益分析

267.プログラム開発中にポリシーを変更する第一の理由は、次のうちどれか?

C.ポリシーが上級経営者の意図と指示を反映しなくなったから。

268.適切なプライバシー宣言に含めるべきものは、次のうちどれか?

C.会社は収集した情報をどのように扱うかの宣言

269.運用上の情報セキュリティプログラムを支援する際、最も必要な対応は、次のうちどれか?

A.手順を点検し、改訂すること。

D.事業体の情報セキュリティ要件への準拠

C.企業の標準をレビューする。

272.集中型情報セキュリティ組織構造の特長は、次のうちどれか?

B.管理とコントロールが比較的簡単である。

C.対処するべき懸念を特定するために上級経営者にインタビューする。

274.侵入検知システムをインストールする第一の目的は何か?

D.内部ネットワークに対する潜在的攻撃を特定するため

275.分散型セキュリティ管理の最大の利点は何か?

C.セキュリティと事業ニーズの整合性の改善

276.情報セキュリティマネージャーがセキュリティプログラムの結果を効率的に評価するために採用できる最良の評価指標は、次のうちどれか?

B.達成された目標の割合

277.戦略的価値となる可能性が最も高い指標は、次のうちどれか?

B.インシデントの発生頻度の傾向

278.別のユーザの公開鍵を取得するのは、次のどの活動を開始するために必要か?

C.認証

279.802.11無線ネットワーク向けの最も強力な暗号化および認証方式を提供する組み合わせは、次のうちどれか?

D.WPA2と802.1x認証

280.サービス拒否(DoS)攻撃または分散型サービス拒否攻撃を軽減するために必要な検出タイプは、次のうちどれか?

D.異常ベースの検出

281.送信電子メールの添付ファイルで機密情報が開示されるリスクを軽減するための最も効果的な技術的アプローチは:

A.コンテンツ・フィルタリングを導入すること。

D.ハッシュ化

283.情報セキュリティインフラの開発において、多種多様な活動を統合する最善の方法は、何を開発することか?

B.アーキテクチャ

284.セキュリティ情報イベント管理システムの購入を決定した後、情報セキュリティマネージャーにとって最も重要なのは:

C.事業体の既存の調達プロセスを利用すること。

285.情報セキュリティポリシーを策定する上で最も重要なことは、次のうちどれか?

D.利害関係者の要求の収集

A.フィンガープリンティングや調査ではなく、悪用対策へ割り当てられる時間が増える。

287.すべての重要な本番稼働サーバが最新のウイルスシグネチャファイルを活用していることを確認するための最良の方法は、次のうちどれか?

D.サーバをサンプリングし、シグネチャファイルが最新のものであるか確認する。

A.従業員にポリシーに関する正式な受領確認を要請する。

289.セキュリティベースラインの使用用途として最良であるのは:

B.統一的なシステム要塞化の確立

D.業務部門

291.特定の規制要件の遵守に対処する上で、最も適切なコントロールは、次のうちどれか?

B.標準

292.情報セキュリティ意識を強化するための最も効果的な方法は、次のうちどれか?

C.役割別の意識向上トレーニング

293.成熟した事業体では、次のどの手段によってセキュリティベースラインを推定できることが期待されるか?

C.コントロール目標が満たされている。

C.要件収集と分析

B.本番稼働データベースのパフォーマンスに影響を及ぼす。

296.フェールクローズ(セキュア)となるコントロールがリスクを提示する対象は:

D.可用性

297.給与処理を外部のサービスプロバイダに委託する場合、セキュリティの観点から考慮する必要がある最も重要な要素は、次のうちどれか?

B.プライバシー要件が満たされている。

298.情報セキュリティプログラムを初めて確立するときに最も重要なのは、マネージャーが:

C.事業体の全体的なエクスポージャを特定して評価すること。

299.デューデリジェンス要件が最も密接に関連付けられるのは、次のうちどれか?

C.適切な注意基準

100

300.コントロールをどの程度階層化すべきかに影響を与える要因は、次のうちどれか?

B.一般的な障害モード