模擬試験(ドメイン1)

ドメイン1の試験です。

70%以上で合格になります。

Results

すばらしい!

まだ見ていないコンテンツがあるかも。

#1. キャロルは健康情報を取り扱うシステム構築を任されている。まず何を提唱するべきでしょうか。

#2. Vender, Inc.は、ロゴの無断使用させたくありません。ロゴを保護し、他人がコピーして使用できないようにするのは、次のうちどれでしょうか?

知的財産は、それがある資源の種類に応じて、いくつかの異なる法律によって保護することができます。 商標は、ロゴなど、単語、名前、シンボル、サウンド、形、色、またはこれらの組み合わせを保護するために使用されます。 企業がこれらの商標の1つ、またはその組み合わせを商標登録する理由は、それがあるグループの人々または世界に彼らの会社(ブランドアイデンティティ)を表すからです。 企業にはマーケティング部門があり、新しいものを創り出して競合他社の注目を集めるようになり、この作業の結果を政府レジストラに商標登録することは、それを適切に保護して他者を保証する方法です それをコピーして使用することはできません。

 

×:特許

発明をカバーしているので、商標は単語、名前、記号、音、形、色、またはそれらの組み合わせを保護するのに対し、間違っています。特許は、個人または企業に法的所有権を付与し、他の者がその特許の対象となる発明を使用またはコピーすることを排除することができるようにします。本発明は、新規で、有用で、明白でなくてはならない。特許は、知的財産保護の最も強力な形態です。

 

×:著作権

米国ではオリジナルの著作物の公開配布、再生、表示、および適合を制御するオリジナル作品の作成者の権利が著作権法によって保護されているため、間違っています。この法律は、絵画、グラフィック、ミュージカル、ドラマチック、文学、パントマイム、映画、彫刻、録音、建築など、多くのカテゴリーの作品をカバーしています。著作権法は特定のリソースをカバーしていません。これは、リソースそのものではなく、リソースのアイデアの表現を保護します。著作権法は、通常、著者の著作、芸術家の絵、プログラマーのソースコード、またはミュージシャンの作品の特定のリズムと構造を保護するために使用されます。

 

×:営業秘密法

不正な使用や開示から特定の種類の情報やリソースを保護するため、正しくありません。企業秘密とは、企業の財産であり、生存と収益性にとって重要なものです。ある企業が営業秘密としての資格を得るためには、そのリソースはある種の競争上の価値や利点を会社に提供しなければなりません。営業秘密は、特別なスキル、創意工夫、および/またはお金と努力の支出が必要な場合は、法律によって保護されます。

#3. アメリカに住むスミスは本を書いています。書物の著作権は自動的に付与され、すべての権利を所有します。作成者の死後、どのくらいの期間、著作権が保護されますか?

Copyrightは、本、アート、音楽、ソフトウェアなどに適用されます。これは自動的に付与され、作成者の死亡後70年間、作成後95年間有効です。

#4. 会社のCISOとして、ジョージは強力なリスク管理プログラムの必要性を理事会に示す必要があります。ジョージは、会社の残存リスクを計算するために次のうちどれを使用すべきですか?

全体的なリスクを許容レベルまで減らすための対策が実施されている。しかし、システムや環境は100%安全ではなく、すべての対策でリスクが残っています。対策後の残存リスクを残存リスクといいます。残留リスクはトータルリスクとは異なります。トータルリスクとは、対策を実施しない場合のリスクです。脅威×脆弱性×資産価値=総リスクを計算することによって総リスクを決定することができるが、残留リスクは、(脅威×脆弱性×資産価値)×コントロールギャップ=残存リスクを計算することによって決定することができる。コントロールギャップは、コントロールが提供できない保護の量です。

#5. 企業が元のサイトまたは新しいサイトに戻る準備ができたら、事業継続計画のどのフェーズで進めますか?

会社が元のサイトまたは新しいサイトに戻るときは、会社は再構築フェーズに入る準備ができています。会社は元のプライマリサイトで動作するまで、またはプライマリサイトを置き換えるために建設された新しいサイトに戻るまで、緊急状態には入っていません。企業が代替サイトから元のサイトに戻る必要がある場合、多くのロジスティクスの問題を考慮する必要があります。これらの問題の中には、従業員の安全を確保すること、適切なコミュニケーションと接続方法が働いていること、そして新しい環境を適切にテストすることが含まれます。救助隊は、施設の準備が整ったことを確認したら、代替施設のデータをバックアップし、新しい施設内で復旧し、偶発的な作業を慎重に終了し、設備や人員を新しい施設。

 

×:回復フェーズ

オフサイト施設の準備(必要な場合)、ネットワークとシステムの再構築、新しい施設に移るスタッフの編成が含まれるため、画像Bは正しくありません。できるだけ早く会社を稼働させるには、復旧プロセスをできるだけ体系化する必要があります。テンプレートは、計画段階で開発する必要があります。これは、回復期で各チームが使用して、必要な段階を踏んで結果を文書化するために使用できます。テンプレートはチームをタスクに任せ、進捗、障害、潜在的な回復時間についてチームリーダーに迅速に伝えます。

 

×:プロジェクト開始フェーズ

事業継続計画の実際の計画がどのように開始されるかということから、正しくありません。計画の実行中には発生しません。プロジェクト開始フェーズには、管理サポートの取得、計画の範囲の策定、資金と資金の確保が含まれます。

 

×:被害評価フェーズ

実際に業務継続手続を実施する開始時に行われるため、正しくありません。損害査定は、BCPコーディネーターとチームによって事前に定義されたアクティベーション基準に基づいて事業継続計画を実施すべきかどうかを判断するのに役立ちます。損傷評価後、基準に記載されている1つ以上の状況が発生した場合、チームは回復モードに移行します。

#6. 便利そうなアプリケーションをインターネット経由でダウンロードし実行したところパソコンが一切動かなくなった。このマルウェアの種別は何だろうか?

#7. 次のうち災害復旧計画を策定し実施する理由として適切ではない項目はどれですか。

ビジネス機能とシステムの概要を説明することは、災害復旧計画を作成し実行するための実行可能な理由ではありません。これらのタスクは、災害復旧計画の結果として達成される可能性が高いですが、問題の他の回答と比較して計画を実行するのは正当な理由ではありません。通常は計画プロセス中に発生しますが、ビジネス機能とシステムの概要を説明するだけでは、災害復旧計画を策定して実装することはありません。

 

×:災害復旧後の復旧手順の作成のため

ディザスタリカバリ計画を作成して実装するには、ディザスタリカバリ後の復旧手順を提供することが適切な理由であるため、正しくありません。事実、これはまさに災害復旧計画が提供するものです。災害復旧の目標は、災害の影響を最小限に抑え、リソース、人員、およびビジネスプロセスが適時に運用を再開できるようにするために必要な措置を講じることです。災害復旧計画の目標は、災害発生直後の災害とその影響を処理することです。

 

×:データのバックアップとバックアップ操作方法の作成のため

データをバックアップするだけではなく、バックアップ操作を拡張することがディザスタリカバリ計画を策定し実装するのに適しているため、不適切です。ディザスタリカバリ計画を検討すると、主にデータのバックアップと冗長ハードウェアの提供に重点を置く企業があります。これらの項目は非常に重要ですが、会社の全体的な業務のほんの一部です。ハードウェアとコンピュータには、それらの構成と操作を行う人が必要であり、他のシステムや外部のエンティティからアクセスできる場合を除き、データは通常役に立ちません。これらのすべては、データだけでなく、バ​​ックアップを必要とする可能性があります。

 

×:緊急時対応の手順の確立のため

災害復旧計画を策定し実施するのに十分な理由があるため、緊急時の対応手順を提供することが正当な理由であるため正しくありません。災害復旧計画は、すべてが緊急モードであり、すべての重要なシステムをオンラインに戻すために誰もが争っているときに実行されます。慎重に書かれた手続きを取ることで、このプロセス全体がはるかに効果的になります。

#8. スーは同社の電子メールシステムを保護するために、ウイルス対策およびスパム対策ソフトウェアを含むいくつかのセキュリティ制御を実装することを任されています。彼女の会社は、システムによってもたらされるリスクに対処するためにどのようなアプローチを取っていますか?

リスクは、4つの基本的な方法で対処できます。移転、回避、縮小、または承諾。 スーは、ウイルス対策ソフトウェアやスパム対策ソフトウェアなどのセキュリティコントロールを実装することで、自社の電子メールシステムがもたらすリスクを削減しています。これは、リスク緩和とも呼ばれ、リスクは許容可能と見なされるレベルまで減少します。手順を改善し、環境を変え、脅威に対する障壁を立て、脅威が発生したときにその脅威を阻止して被害を減らすための早期発見手法を導入することで、リスクを緩和することができます。

 

×:リスク受入

リスク受容がアンチウィルスソフトウェアなどの保護や対策に支出を伴わないため不適切です。リスクを受け入れる際には、直面しているリスクのレベルと潜在的な損害コストを把握し、対策を実施することなくそれを維持することを決定します。コスト/便益比率が、対策費用が潜在的な損失額を上回っていることを示している場合、多くの企業はリスクを受け入れます。

 

×:リスク回避

リスクを引き起こしている活動を中止することになるため、間違っています。この場合、スーの会社は引き続きEメールを使用することに決めました。企業がそのリスクがアクティビティのビジネスニーズを上回る場合、リスクを導入するアクティビティを終了することを選択することがあります。たとえば、企業は従業員の生産性に与えるリスクのため、ソーシャルメディアのWebサイトを一部の部門でブロックすることを選択することがあります。

 

×:リスク移転

リスクの一部を保険会社に移転するために保険購入のように他のエンティティとリスクを共有することを伴うため、正しくない。多くの種類の保険は、企業が資産を保護するために利用できます。会社が総リスクまたは余剰リスクが高すぎて賭けができないと判断した場合、保険を購入することができます。

#9. リーは、自社が欧州のパートナーと交流しているときに、自社がプライバシーに関する欧州連合原則に準拠していることを保証する役割を担う新しいセキュリティマネージャーです。プライベートと見なされるデータの送信を扱う一連の原則は、以下の法律または規制のいずれに含まれていますか?

多くの場合、欧州連合(EU)は世界の他のほとんどの国よりも個人のプライバシーをより真剣に受け止めるため、個人情報保護に関する欧州連合原則に基づく個人情報とみなされるデータに関する厳しい法律を遵守します。この一連の原則は、本質的に私的であると考えられる情報を使用して伝達することに取り組んでいます。これらの原則とその遵守方法は、EUのデータ保護指令に含まれています。欧州のすべての州は、これらの原則を遵守しなければなりません。EU企業とビジネスを行うすべての企業は、プライバシ・タイプのデータの交換を含むビジネスであれば、この指令に従わなければなりません。

”経済協力開発機構(OECD)”は、異なる政府が集まり、グローバル化した経済の経済的、社会的、ガバナンスの課題に取り組むのに役立つ国際機関であるため、イメージBは間違っています。このため、OECDは、データが適切に保護され、誰もが同じ種類のルールを遵守するように、各国のガイドラインを策定しました。

”連邦民間法案”は、間違っています。この名前の公式法案はありません。

”プライバシー保護法”は、誤った答えです。この名前の公式法はありません。

#10. 次のうち、国内法を調整し、捜査技術と国際協力を改善することにより、コンピュータ犯罪に対処するための最初の国際条約であったのはどれですか?

サイバー犯罪に関する欧州評議会(CoE)条約は、サイバー犯罪に対する標準的な国際的対応を作成する試みの一例です。これは、国内法を調整し、捜査技術と国際協力を改善することにより、コンピュータ犯罪に対処する最初の国際条約です。条約の目的は、被告人の管轄と犯罪の犯人を拘束するための枠組みの作成を含む。例えば、事件が両国の犯罪である場合にのみ、引渡しが可能です。

”サイバー犯罪に関する世界大会評議会”は、誤解を招くので間違っています。この条約の正式名称は欧州理事会のサイバー犯罪条約である。これは、サイバー犯罪に対する包括的な法律を制定し、この条約の締約国間の国際協力の枠組みとして、あらゆる国の指針となります。

”経済協力開発機構(OECD)”は、異なる政府が集まり、グローバル化された経済の経済的、社会的、ガバナンスの課題に取り組むのに役立つ国際的な組織であるため、イメージCは間違っています。このため、OECDは、データが適切に保護され、誰もが同じ種類のルールを遵守するように、各国のガイドラインを策定しました。

”サイバー犯罪の協力と開発のための組織”は誤った答えです。この名前の正式な実体はありません。

#11. グローバル化された経済の経済的、社会的、ガバナンスの課題に取り組むのに役立つための国際機関はどれでしょうか?

ほとんどすべての国は、私的なデータを構成するものとそれをどのように保護すべきかに関する独自の規則を持っています。デジタル時代と情報化時代が到来するにつれ、これらの異なる法律はビジネスや国際貿易に悪影響を与え始めました。このように、経済協力開発機構(OECD)は、様々な国のためのガイドラインを作成し、データが適切に保護され、誰もが同じ規則に従うようにした。

 

×:トレッドウェイ委員会委員会

不正な財務報告を研究する組織であり、不正な財務報告を調査する機関であり、どの要素がそれらにつながっているかについて、1985年にTreadway Commission(COSO)のスポンサー組織委員会が設立されたため不正です。頭字語のCOSOは、ITを戦略的レベル、企業文化、財務会計原則などに対応するコーポレートガバナンスのモデルを指します。

 

×:COBIT(Control Objectives for Information and Related Technology)

ITを適切に管理し、ITがビジネスニーズに対応できるようにするためのコントロールの目標を定義するフレームワークであるため、正しくありません。機密データと参照フレームワークの制御とセキュリティの要件を提供する国際的なオープンスタンダードです。

 

×:国際標準化機構(ISO)

国家標準化団体の代表者で構成される国際標準化機関であるため、間違っています。その目的は、グローバルな標準化を確立することです。しかし、その標準化は、国際的な国境を越えて移動するデータのプライバシーを超えています。例えば、いくつかの規格は品質管理に取り組んでおり、その他の規格は保証とセキュリティに取り組んでいます。

#12. 組織がEUのデータ保護指令に準拠するよう裁判所に命じられました。しなければならないことの1つは何ですか?

EUデータ保護指令とは、非常に積極的なプライバシー保護法です。組織は、データがどのように収集および使用されるかを個人に通知する必要があります。組織は、サードパーティとのデータ共有をオプトアウトできるようにする必要があります。最も機密性の高いデータを共有するにはオプトインが必要です。受領国が適切な(同等の)プライバシー保護を持っていると認められない限り、EUからの送信はなく、米国はこの基準を満たしていません。

 

【他の方の正解率】

#13. データの完全性と関係のないものはどれでしょうか。

無許可のエンティティと共有するデータの抽出は、機密性の問題です。機密性は、データ処理の各分岐点で必要なレベルの機密保護が実施され、不正な開示を防止することを保証します。このレベルの機密性は、ネットワーク内のシステムおよびデバイスにデータが送信されている間、および送信先に到達した時点で優先されます。一方、完全性は、データが無許可の方法で変更または操作されていないことを示す原則です。

 

×:データに対する不正な操作または変更

間違いです。なぜなら、完全性は、許可されていない操作またはデータの変更に関連するからである。無断改変が防止されると、完全性が維持されます。ハードウェア、ソフトウェア、および通信の仕組みは、データを正しく維持および処理し、予期せぬ変更なしに意図した宛先にデータを移動するために連携して動作する必要があります。システムとネットワークは、外部の干渉や汚染から保護する必要があります。

 

×:許可なくデータを変更する

権限のないデータの変更が整合性に関連するため、間違いです。整合性とは、データを保護することであり、ユーザーや権限を持たない他のシステムによって変更することはできません。

 

×:意図的または偶発的なデータの置換

意図的または偶発的なデータの置換が整合性に関連するため、正しくありません。データが不正なエンティティによって改ざんされないという保証とともに、情報およびシステムの正確性および信頼性の保証が提供される場合、完全性が維持されます。完全性を強制する環境では、例えば、ウイルス、ロジックボム、バックドアをデータを破損または置換する可能性のあるシステムに挿入するなどの攻撃を防ぎます。ユーザーは通常、間違ってシステムやそのデータの整合性に影響を与えます(内部ユーザーは悪意のある行為も行う可能性があります)。たとえば、データ処理アプリケーションに誤った値を挿入して、300ドルではなく3,000ドルを顧客に請求することがあります。

#14. 資産に価値を割り当てる際には、いくつかの要素を考慮する必要があります。次のうち資産の価値を判断するために使用されないものはどれですか?

資産をカバーするために必要な保険の水準は、資産に価値を割り当てる際の考慮事項ではありません。それは実際には逆です。資産の価値を知ることで、組織はその資産を購入する保険範囲のレベルをより簡単に判断できます。実際に、資産の価値を理解することは、どのようなセキュリティ・メカニズムを導入すべきか、それを保護するためにどのような資金を投入すべきかを理解するための第一歩です。この知識は、企業が効果的なコスト/便益分析を実行し、リスクのあるものを正確に理解し、法律や規制要件を遵守するのにも役立ちます。

 

×:外部市場における資産の価値

資産の価値を決定する際に考慮すべき要因であるため、正しくありません。それには、資産が競合他社に与える可能性のある価値や、他人が特定の資産に対して支払う価値も含まれていなければなりません。

 

×:資産の購入、ライセンス供与、およびサポートの初期費用と出費

資産の購入、ライセンス供与、およびサポートの初期費用と出費が資産のコストと価値を決定する際の考慮事項であるため、間違っています。資産はビジネスにとって直接的に費用対効果の高いものでなければなりません。資産を維持するためのサポート要件が資産のビジネスニーズを上回る場合、その価値は減少します。

 

×:組織の生産業務に対する資産価値

資産の価値を決定する際に考慮すべき因子であるため、不正確である。組織の生産オペレーションに対するアセットの価値は、アセットが一定期間利用できない場合の組織のコストの決定です。これらの同じ行に沿って、資産が利用できない場合、影響を受ける事業運営および生産活動だけでなく、組織における資産の有用性と役割も考慮する必要があります。アセットが操作に役立つ場合、それは貴重です。そのトリックは、いかに価値があるかを理解することです。

#15. 年間予想損失額(ALE)の計算式として正しいものはどれでしょうか。

年間予想損失額は、将来発生しうる損失に対して、発生頻度から年間で均した値です。そのため、単一損失額(SLE)と年間発生頻度(ALO)を乗じた値になります。

#16. 安全なリモート管理を可能にするためのガイドラインに従ってください。 次のうち、そのガイドラインの1つではないものはどれですか?

Telnetは、管理者の資格情報を含むすべてのデータを平文で送信するため、リモート管理は許可しないでください。 この種の通信は、SSHのように、より安全なプロトコルを経由する必要があります。

 

×:少数の管理者がリモート機能を実行できるようにする必要があります。

少数の管理者だけがリモート機能を実行できるはずであるということが真実であるため、間違っています。 これにより、ネットワークにかかるリスクを最小限に抑えることができます。

 

×:重要なシステムは、リモートではなくローカルで管理する必要があります。

クリティカルなシステムをリモートではなくローカルで管理する必要があることは事実であるため、間違っています。 パブリックネットワークを介して行うよりも、内部のプライベートネットワーク上で管理コマンドを送信する方が安全です。

 

×:強力な認証が必要です。

どんな管理活動のためにも強力な認証が必要であるということが真実であるため、間違っています。 パスワードなどの強力な認証よりも弱いものは、攻撃者が侵入して管理アクセス権を得るのは簡単です。

#17. インターネットアーキテクチャ委員会は、技術と倫理に関してどのような役割を果たしていますか?

インターネットアーキテクチャ委員会(IAB)は、インターネットの設計、エンジニアリング、および管理のための調整委員会です。これは、IETF(Internet Engineering Task Force)活動、インターネット標準プロセスの監視とアピール、RFC(Request for Comments)の編集者のアーキテクチャーの監視を担当しています。 IABは、インターネットの使用に関する倫理関連の声明を発表する。インターネットは、可用性とアクセシビリティに依存するリソースであり、幅広い人々にとって有用であると考えています。主に、インターネット上の無責任な行為がその存在を脅かすか、または他人に悪影響を与える可能性があります。それはインターネットを大きな贈り物とみなし、それに頼るすべての人々のためにインターネットを保護するために一生懸命働いています。 IABは、インターネットを特権として使用することを認めており、これはそのように扱われ、尊重されて使用されるべきです。

 

×:刑事判決のガイドラインを作成します。

IABは、個人または企業が犯した特定の重罪または軽犯罪に対する適切な懲罰的判決を決定する際に裁判官が使用する規則である連邦裁判所ガイドラインとは関係がないため、間違っています。このガイドラインは、米国連邦裁判所のシステムにおいて、重罪および/または重度の軽犯罪を行う団体のための統一的な判決方針として機能します。

 

×:コメントのコメントを編集します。

インターネットアーキテクチャ委員会がRFC(Request for Comments)の編集を担当していますが、このタスクは倫理に関係しないため、正しくありません。この答えは気を散らすものです。

 

×:コンピュータ倫理の十戒を維持します。

IABではなくコンピュータ倫理研究所が、次に列挙したコンピュータ倫理の十戒を開発し維持しているため、間違っています。コンピュータ倫理研究所は、倫理的手段によって技術を進歩させるために働く非営利団体です。

#18. 行動指示型の防御策として正しいものはどれでしょうか。

#19. 米国愛国者法(USA PATRIOT Act)の制定のきっかけとなる歴史的事件は何でしょうか。

#20. 同社の事業継続コーディネーターであるマシューは、メンバーを事業継続計画(BCP)委員会に募集する手助けをしています。次のうち、間違った説明はどれですか?

BCP委員会は、組織内の各部門を代表するために必要な規模でなければなりません。このチームは、各部門が独自の機能と独特のリスクと脅威を持っているため、社内のさまざまな部門に精通した人で構成されている必要があります。最高の計画は、すべての問題と脅威がテーブルに持ち込まれ、議論されたときに策定されます。これは、2つの部門にしか慣れていない少数の人々と効果的に行うことはできません。委員会は、少なくとも事業部、上級管理職、IT部門、セキュリティ部門、通信部門、法務部門の担当者から構成されていなければなりません。

 

×:委員のメンバーは、計画段階、テスト段階、実施段階に関与する必要があります。

委員会のメンバーが計画段階とテスト段階および実装段階に関与する必要があることが正しいため、正しくありません。 BCPのコーディネーターであるマシュー氏が優れた経営リーダーであれば、チームメンバーに自分の任務や役割に関わる所有権を感じさせるのが最善であると理解するでしょう。 BCPを開発する人々も、それを実行する人でなければなりません。危機の時期にいくつかの重要なタスクが実行されることが予想される場合は、計画とテストのフェーズでさらに注意を払う必要があります。

 

×:事業継続コーディネーターは、経営陣と協力して委員会メンバーを任命すべきである。

BCPコーディネーターが管理職と協力して委員会メンバーを任命する必要があるため、間違っています。しかし、経営陣の関与はそこで終わらない。 BCPチームは、経営陣と協力して計画の最終目標を立て、災害時に最初に処理しなければならないビジネスの重要な部分を特定し、部門やタスクの優先順位を確認する必要があります。経営陣はまた、チームにプロジェクトの範囲と具体的な目標を指示するのに役立つ必要があります。

 

×:チームは、社内のさまざまな部門の人で構成する必要があります。

チームが社内の異なる部門の人で構成されるべきであるため、正しくありません。これは、チームが各部門が直面する独特なリスクと脅威を考慮する唯一の方法です。

終了