Isaca - Certforall.cism - Vce.dumps.2023 Jan 06.by - Herbert.151q.vce en - LT

Machine Translated by Google Gaukite visas CISM ištraukas VCE ir PDF iš SurePassExam https://
Rekomenduoju!!
www.surepassexam.com/CISM-exam-dumps.html (631 naujas klausimas)
Isaca
Egzamino klausimai CISM
Sertifikuotas informacijos saugos vadovas
Lengva išlaikyti sertifikavimo egzaminus apsilankykite - https://www.surepassexam.com

Rekomenduoju!!
NAUJAS KLAUSIMAS 1
Kai organizacija įgyvendina informacijos saugumo valdymo programą, jos direktorių valdyba turėtų būti atsakinga už:
A. informacijos saugumo politikos rengimas B.

mokymo ir informavimo programos peržiūra C. strateginės
programos krypties nustatymas D. atitikties auditas
Atsakymas: C
Paaiškinimas:
Direktorių valdyba turėtų nustatyti strateginę programos kryptį, kad ji atitiktų įmonės viziją ir verslo tikslus. Valdyba turi įtraukti valdymo programą į bendrą įmonės verslo strategiją. Informacijos saugumo
politiką geriausiai gali parengti kas nors, pavyzdžiui, saugos vadovas, turintis kompetencijos, kad būtų užtikrinta politikos pusiausvyra, apimtis ir dėmesys. Mokymo ir informuotumo didinimo programas geriausiai
gali atlikti saugumo valdymo ir mokymo personalas, siekdamas užtikrinti, kad mokymas vyktų tiksliai ir būtų laikomasi geriausios praktikos. Atitikties auditą geriausia patikėti vidaus ir išorės auditoriams,
kad jie pateiktų objektyvią programos apžvalgą ir tai, kaip ji atitinka teisės aktų ir teisės aktų reikalavimus.
NAUJAS 2 KLAUSIMAS
Kurį iš šių dalykų SVARBIAUSIAI reikia suprasti kuriant prasmingą informacijos saugumo strategiją?
A. Teisinė aplinka B. Tarptautiniai

saugumo standartai C. Organizacinė rizika
D. Organizacijos tikslai
Atsakymas: D
Paaiškinimas:
norint suderinti saugumą su verslo tikslais, reikia suprasti, ką organizacija bando pasiekti. Visi kiti pasirinkimai yra elementai, į kuriuos reikia atsižvelgti, tačiau jų svarba yra antraeilė ir skirsis priklausomai nuo
organizacijos tikslų.
NAUJAS 3 KLAUSIMAS
Kuris iš šių dalykų GERIAUSIAI užtikrintų informacijos saugumo valdymo sėkmę organizacijoje?
A. Valdymo komitetai tvirtina saugumo projektus B. Visiems

vadovams teikiami saugumo politikos mokymai C. Visiems
darbuotojams intranete prieinami saugumo mokymai D. Valdymo komitetai
užtikrina, kad būtų laikomasi įstatymų ir kitų teisės aktų
Atsakymas: A
Paaiškinimas:
Iniciatyvinio komiteto, kuris tvirtina visus saugumo projektus, buvimas būtų gero valdymo programos požymis. Įstatymų ir taisyklių laikymasis yra valdymo komiteto atsakomybės dalis, tačiau tai nėra išsamus
atsakymas. Sąmoningumo ugdymas yra svarbus visais lygmenimis bet kokioje terpėje, taip pat gero valdymo rodiklis. Tačiau jam turi vadovautis ir jį kaip saugumo projektą patvirtinti valdymo komitetas.
NAUJAS 4 KLAUSIMAS
Kuris iš toliau nurodytų dalykų greičiausiai bus pasirinktas?
A. Politika B.
Procedūros C.
Gairės D.
Standartai
Atsakymas: C
Paaiškinimas:
politika apibrėžia organizacijos saugumo tikslus ir lūkesčius. Jos apibrėžtos konkretesniais standartais ir procedūromis. Standartai nustato, ką reikia padaryti, o procedūros aprašo, kaip tai turi būti daroma. Gairėse
pateikiamos rekomendacijos, į kurias verslo vadovybė turi atsižvelgti kurdama praktiką savo kontrolės srityse; todėl jie yra diskreciniai.
NAUJAS KLAUSIMAS 5
Veiksmingo saugumo valdymo rezultatas yra:
A. verslo priklausomybės vertinimas B. strateginiai

suderinimai C. rizikos
įvertinimai
D. planinin
Atsakymas: B
Paaiškinimas:

Rekomenduoju!!
Verslo priklausomybės vertinimas – tai verslo priklausomybės nuo tam tikrų informacijos išteklių nustatymo procesas. Tai nėra veiksmingo saugumo valdymo rezultatas ar produktas. Strateginis suderinimas yra
veiksmingo saugumo valdymo rezultatas. Ten, kur yra geras valdymas, greičiausiai bus vykdomas strateginis derinimas. Rizikos vertinimas nėra veiksmingo saugumo valdymo rezultatas; tai procesas. Planavimas
vyksta veiksmingo saugumo valdymo pradžioje ir yra ne rezultatas, o procesas.
NAUJAS KLAUSIMAS 6
Norint sėkmingai įgyvendinti informacijos saugumo valdymą, PIRMA reikės:
A. saugumo supratimo mokymas B.

atnaujinta saugumo politika C.
kompiuterinių incidentų valdymo arbata D. saugumo
architektūra
Atsakymas: B
Paaiškinimas:
norint suderinti valdymo tikslus su saugos procedūromis, reikia atnaujinti saugos politiką; valdymo tikslai virsta politika, politika – procedūromis. Saugumo procedūroms reikės specializuotų komandų, pvz.,
kompiuterinių incidentų reagavimo ir valdymo grupės, taip pat specializuotų įrankių, tokių kaip saugumo mechanizmai, sudarantys saugos architektūrą. Saugumo supratimas skatins politiką, procedūras ir
tinkamą saugumo mechanizmų naudojimą.
NAUJAS KLAUSIMAS 7
Veiksmingiausias būdas spręsti problemas, kylančias tarp IT valdymo, verslo padalinių ir saugos valdymo įgyvendinant naują saugos strategiją, yra informacijos saugos vadovas:
A. perduokite problemas išorinei trečiajai šaliai, kad jos būtų išspręstos

B. užtikrinti, kad vyresnioji vadovybė suteiktų įgaliojimus saugumui spręsti problemą C. reikalauti, kad vadovai
ar padaliniai, kurie nesutinka su saugumo sprendimu, priimtų riziką D. perduoti klausimus vyresniajai vadovybei
kartu su bet kokia saugumo rekomendacija
Atsakymas: D
Paaiškinimas:
Vyresnioji vadovybė turi geriausias arbitražo galimybes, nes priimdamas sprendimą atsižvelgs į bendrus verslo poreikius. Įgaliojimus kitiems gali perduoti vyresnioji vadovybė, peržiūrėjusi problemas ir
saugumo rekomendacijas. Vienetų neturėtų būti prašoma prisiimti riziką, prieš tai negavus indėlio iš vyresniosios vadovybės.
NAUJAS 8 KLAUSIMAS
Penkiolikoje šalių veikianti tarptautinė organizacija svarsto galimybę įgyvendinti informacijos saugumo programą. Kuris veiksnys DAUGIAU paveiks Informacijos saugumo programos dizainą?
A. Regiono verslo lyderių atstovavimas B. Valdybos sudėtis C.

Įvairių šalių kultūros
D. IT saugumo įgūdžiai
Atsakymas: C
Paaiškinimas:
Kultūra turi didelę įtaką informacijos saugumo įgyvendinimui. Regiono verslo lyderių atstovavimas gali neturėti didelės įtakos, nebent būtų susiję su kultūros klausimais. Valdybos sudėtis gali neturėti didelės
įtakos, palyginti su kultūros klausimais. IT saugumo įgūdžiai nėra tokie svarbūs ar didelio poveikio kuriant daugianacionalinę informacijos saugumo programą, kaip būtų kultūriniai klausimai.
NAUJAS 9 KLAUSIMAS
Kuris iš šių GERIAUSIŲ dalykų prisideda prie saugumo valdymo sistemos, palaikančios brandos modelio koncepciją, kūrimo?
A. Nuolatinė analizė, stebėjimas ir grįžtamasis ryšys B. Nuolatinis

saugumo investicijų grąžos stebėjimas (ROSD C. Nuolatinis rizikos mažinimas D. Pagrindinis
rizikos rodiklis (KRD sąranka saugos
valdymo procesams
Atsakymas: A
Paaiškinimas:
Kad patobulintų valdymo sistemą ir pasiektų aukštesnį brandos lygį, organizacija turi vykdyti nuolatinę analizę, stebėjimą ir grįžtamąjį ryšį, palyginti su dabartine brandos būkle. Investicijų į saugumą grąža
(ROSD gali parodyti su saugumu susijusios veiklos rezultatus; tačiau rezultatas interpretuojamas pinigine išraiška ir apima daugybę saugumo iniciatyvų aspektų. Taigi tai gali būti netinkamas pasirinkimas.
Nuolatinis rizikos mažinimas parodytų saugumo valdymo sistemos veiksmingumą, bet nenurodo aukštesnio brandumo lygio Pagrindinis rizikos rodiklis (KRD sąranka yra priemonė, naudojama atliekant
vidaus kontrolės vertinimą. KRI sąranka pateikia slenkstį, įspėjantį valdymą, kai pažeidžiamos kontrolės priemonės verslo procesuose. Tai yra kontrolės įrankis, o ne brandos modelio palaikymo įrankis.

Rekomenduoju!!
NAUJAS 10 KLAUSIMAS
Verslo padalinys ketina įdiegti naują technologiją taip, kad ji pažeis esamus informacijos saugumo standartus. Kokių neatidėliotinų veiksmų turėtų imtis informacijos saugos vadovas?
A. Vykdykite esamą saugumo standartą B. Pakeiskite

standartą, kad būtų galima įdiegti C. Atlikite rizikos analizę, kad
įvertintumėte riziką D. Atlikite tyrimą, kad pasiūlytumėte
naudoti geresnę technologiją
Atsakymas: C
Paaiškinimas:
Tokio pobūdžio konfliktų sprendimas turėtų būti pagrįstas patikima standarto išimčių leidimo arba neleidimo sąnaudų ir naudos rizikos analize. Bendras sprendimas niekada neturėtų būti priimtas neatlikus tokios
analizės. Esamų standartų vykdymas yra gera praktika; tačiau standartai turi būti nuolat tikrinami atsižvelgiant į naujas technologijas ir jų keliamą pavojų. Standartai neturėtų būti keičiami be tinkamo rizikos
įvertinimo.
NAUJAS KLAUSIMAS 10
Investicijos į informacijos saugumo technologijas turėtų būti pagrįstos:
A. pažeidžiamumo vertinimas B.
vertės analizė C.
verslo klimatas
D. audito rekomendacija
Atsakymas: B
Paaiškinimas:
investicijos į saugumo technologijas turėtų būti pagrįstos vertės analize ir patikimu verslo pagrindu. Įrodyta vertė yra svarbesnė už dabartinę verslo aplinką, nes ji nuolat keičiasi. Sprendimų priėmimas
remiantis audito rekomendacijomis būtų reaktyvaus pobūdžio ir gali neatitikti pagrindinių verslo poreikių. Pažeidžiamumo vertinimai yra naudingi, tačiau jie nenustato, ar išlaidos yra pagrįstos.
NAUJAS 11 KLAUSIMAS
Kuris iš šių dalykų dažniausiai patenka į informacijos saugumo valdymo valdymo komiteto sritį?
A. Kandidatų į informacijos saugos specialistų pareigas pokalbiai B. Saugumo suvokimo

programų turinio kūrimas C. Informacijos saugumo iniciatyvų prioritetų
teikimas D. Prieigos prie svarbiausių finansinių sistemų
patvirtinimas
Atsakymas: C
Paaiškinimas:
Informacijos saugumo iniciatyvų prioritetų teikimas yra vienintelis tinkamas elementas. Specialistų apklausas turėtų atlikti informacijos saugos vadovas, o programos turinio kūrimą – informacijos saugos
darbuotojai. Už prieigos prie svarbiausių finansinių sistemų patvirtinimą atsako atskiri sistemos duomenų savininkai.
NAUJAS KLAUSIMAS 15
PAGRINDINIS saugumo valdymo grupės tikslas yra:
A. užtikrinti, kad informacijos saugumas apimtų visas verslo funkcijas B.

užtikrinti, kad informacijos saugumas atitiktų verslo tikslą C. didinti
informacijos saugumo supratimą visoje organizacijoje D. įgyvendinti visus
sprendimus dėl saugumo valdymo visoje organizacijoje
Atsakymas: B
Paaiškinimas:
Saugos valdymo grupę sudaro pagrindinių verslo funkcijų vyresnioji vadovybė ir jos pagrindinis tikslas yra suderinti saugos strategiją su verslo kryptimi. A variantas yra neteisingas, nes gali nebūti reikalaujama,
kad visos verslo sritys būtų taikomos informacijos saugumui; bet jei taip, pagrindinis valdymo komiteto tikslas būtų labiau suderinimas, o ne aprėptis. Nors informuotumo didinimas yra svarbus, šio tikslo
pats komitetas neįgyvendintų.
Iniciatyvinis komitetas gali dalį sprendimų priėmimo pavesti informacijos saugos vadybininkui; tačiau jei ji išsaugo šį autoritetą, tai nėra pagrindinis tikslas.
NAUJAS KLAUSIMAS 19
Informacijos saugumo valdymą VISŲ pirma skatina:
A. technologijos apribojimas B.
reguliavimo reikalavimas C.
bylinėjimosi potencialas
D. verslo strategija
Atsakymas: D
Paaiškinimas:
valdymas yra tiesiogiai susijęs su verslo strategija ir kryptimi. Technologiniai apribojimai, reguliavimo reikalavimai ir bylinėjimosi galimybės yra svarbūs

Rekomenduoju!!
veiksniai, tačiau jie būtinai atitinka verslo strategiją.
NAUJAS 20 KLAUSIMAS
Informacijos saugumo pareigūnas atkreipė dėmesį į naują reglamentą, skirtą apsaugoti informaciją, apdorojamą atliekant tam tikros rūšies sandorius. Pareigūnas PIRMA turėtų:
A. susitikti su suinteresuotosiomis šalimis, kad nuspręstų, kaip

įvykdyti B. išanalizuoti pagrindines atitikties proceso rizikas
C. įvertinti, ar esamos kontrolės priemonės atitinka reglamentą D.
atnaujinti esamą saugos / privatumo politiką
Atsakymas: C
Paaiškinimas: jei
organizacija laikosi reikalavimų taikydama esamas kontrolės priemones, poreikis atlikti kitus su reglamentu susijusius darbus nėra prioritetas. Kiti pasirinkimai yra tinkami ir svarbūs; tačiau tai yra vėlesni
veiksmai ir priklausys nuo to, ar yra kontrolės spragų.
NAUJAS KLAUSIMAS 25
Idealiu atveju vyriausiasis informacijos saugumo pareigūnas (CISO) turėtų turėti tiesioginį atskaitomybės ryšį su:
A. vidaus audito vadovas B.
vyriausiasis operacijų pareigūnas (COO).

C. vyriausiasis technologijų pareigūnas (CTO).
D. advokatas
Atsakymas: B
Paaiškinimas:
Idealiu atveju vyriausiasis informacijos saugumo pareigūnas (CISO) turėtų atsiskaityti kuo aukštesniam organizacijos lygiui. Tarp pateiktų pasirinkimų vyriausiasis operacijų pareigūnas (COO) turėtų ne
tik atitinkamo lygio, bet ir kasdienės veiklos žinias. Vidaus audito vadovas ir teisės patarėjas darytų gerus antraeilius pasirinkimus, nors ir nelabai išmanytų veiklą. Ataskaitų teikimas vyriausiajam technologijų
pareigūnui (CTO) gali kilti problemų, nes CTO tikslai dėl infrastruktūros kartais gali prieštarauti informacijos saugumo tikslams.
NAUJAS 26 KLAUSIMAS
Kuris iš šių veiksnių yra PAGRINDINIS informacijos saugumo valdymo veiksnys, kuriam nereikia jokio papildomo pagrindimo?
A. Derinimas su geriausia pramonės praktika B.

Verslo tęstinumo investicijos C. Verslo nauda
D. Teisės aktų laikymasis
Atsakymas: D
Paaiškinimas:
Teisės aktų laikymasis gali būti atskira informacijos saugos valdymo priemonės veiksnys. Nereikalaujama jokios papildomos analizės ar pagrindimo, nes subjektas negali pasirinkti teisės aktų reikalavimų.
Informacijos saugos vadybininkas turi gauti informaciją iš verslo vadybininkų, kai ieškoma informacijos saugumo valdymo priemonės, pagrįstos jos suderinimu su geriausia pramonės praktika. Investicijos į veiklos
tęstinumą turi būti pagrįstos poveikio verslui analize. Kai ieškoma informacijos saugumo valdymo priemonės, pagrįstos kokybine verslo nauda, reikia atlikti tolesnę analizę, siekiant nustatyti, ar nauda yra
didesnė už atitinkamos informacijos saugumo valdymo priemonės sąnaudas.
NAUJAS 29 KLAUSIMAS
Kurį iš šių dalykų SVARBIAUSIAI reikia turėti omenyje vertinant informacijos vertę?
A. Galimi finansiniai nuostoliai B.

Informacijos atkūrimo išlaidos C. Draudimo išlaidos
D. Reguliavimo reikalavimas
Atsakymas: A
Paaiškinimas:
Galimi finansiniai nuostoliai visada yra pagrindinis veiksnys vertinant informacijos vertę. Pasirinkimai B, C ir D gali būti veiksniai, bet ne pagrindinis veiksnys.
NAUJAS 33 KLAUSIMAS
Kuris iš šių dalykų yra centralizuotos informacijos saugos organizacinės struktūros pranašumas?
A. Lengviau propaguoti saugumo supratimą B. Lengviau

valdyti ir kontroliuoti C. Jis labiau reaguoja į
verslo padalinio poreikius D. Tai užtikrina greitesnį saugos
užklausų apdorojimą
Atsakymas: B

Rekomenduoju!!
Paaiškinimas:
lengviau valdyti ir kontroliuoti centralizuotą struktūrą. Saugumo supratimo skatinimas yra decentralizacijos pranašumas. Decentralizacija leidžia naudoti lauko apsaugos darbuotojus kaip saugumo misionierius
arba ambasadorius, kad būtų galima skleisti saugumo supratimo pranešimą. Decentralizuotos operacijos leidžia saugos administratoriams labiau reaguoti. Būdami arti verslo, decentralizuoti
saugos administratoriai gali pasiekti greitesnį apsisukimą nei centralizuotai veikiant.
NAUJAS 36 KLAUSIMAS Ką
visų pirma naudotų saugos vadybininkas, siūlydamas įgyvendinti saugos sprendimą?
A. Rizikos vertinimo ataskaita B.

Techninio vertinimo ataskaita C. Verslo
atvejis D. Biudžeto
reikalavimai
Atsakymas: C
Paaiškinimas:
informacijos saugos vadovas turi teikti pirmenybę kontrolei, remdamasis rizikos valdymu ir organizacijos reikalavimais. Informacijos saugos vadovas turi pažvelgti į įvairių kontrolės priemonių išlaidas ir
palyginti jas su nauda, kurią organizacija gaus iš saugos sprendimo. Informacijos saugos vadovas turi turėti žinių apie verslo atvejų plėtrą, kad parodytų įvairių valdiklių sąnaudas ir naudą. Visi kiti
pasirinkimai yra papildomi.
NAUJAS KLAUSIMAS 38
Investicijos į saugumo technologijas ir procesus turėtų būti pagrįstos:
A. aiškus derinimas su organizacijos tikslais ir uždaviniais B. sėkmės atvejai, patirti

vykdant ankstesnį projektą C. geriausia verslo praktika D. apsaugos priemonės,
būdingos esamoms
technologijoms.
Atsakymas: A
Paaiškinimas:
Organizacijos brandos lygis informacijos apsaugai yra aiškus derinimas su organizacijos tikslais ir uždaviniais. Ankstesnių projektų patirtis priklauso nuo kitų verslo modelių, kurie gali būti nepritaikomi
dabartiniam modeliui. Geriausios verslo praktikos gali būti nepritaikomos organizacijos verslo poreikiams. Esamoms technologijoms būdingos apsaugos priemonės yra pigios, tačiau gali neatitikti visų verslo
poreikių ir (arba) organizacijos tikslų.
NAUJAS 41 KLAUSIMAS
Kuris iš šių dalykų padėtų pakeisti organizacijos saugumo kultūrą?
A. Sukurti procedūras, skirtas informacijos saugumo politikai įgyvendinti B. Gauti

tvirtą vadovybės palaikymą C. Įgyvendinti griežtą
techninę saugumo kontrolę D. Periodiškai tikrinti, kaip
laikomasi informacijos saugumo politikos.
Atsakymas: B
Paaiškinimas:
Vadovybės parama ir spaudimas padės pakeisti organizacijos kultūrą. Procedūros palaikys informacijos saugumo politiką, tačiau negali pakeisti organizacijos kultūros. Techninė kontrolė suteiks daugiau
saugumo informacinei sistemai ir darbuotojams; tačiau tai nereiškia, kad kultūra bus pakeista. Auditas padės užtikrinti informacijos saugumo politikos veiksmingumą; tačiau auditas nėra veiksmingas
keičiant įmonės kultūrą.
NAUJAS KLAUSIMAS 46
Aukštesniosios vadovybės įsipareigojimą ir paramą informacijos saugumui GERIAUSIAI pasieks informacijos saugos vadovas, pabrėždamas:
A. organizacinis ris B.
organizacijos platus metrika C.
saugumo poreikis D.
organizacinio vieneto pareigos
Atsakymas: A
Paaiškinimas:
Informacijos saugumas yra skirtas padėti organizacijai pasiekti savo tikslus. Informacijos saugumo vadovas turėtų nustatyti informacijos saugumo poreikius, remdamasis organizaciniais poreikiais.
Organizacinė ar verslo rizika visada turėtų būti pirmenybė. Nustačius bendrą organizacinę riziką, vyresnioji vadovybė teigiamai vertins kiekvieno organizacinio vieneto įtraukimą į informacijos saugumą ir
sėkmės matavimo metrikų nustatymą.
NAUJAS 48 KLAUSIMAS
Kuris iš šių dalykų greičiausiai bus atnaujinamas DŽIAUSIAI?
A. Duomenų bazių serverių tvirtinimo procedūros B.

Slaptažodžio ilgio ir sudėtingumo standartai

Rekomenduoju!!
C. Informacijos saugumo valdymo politika D. Dokumentų saugojimo ir

naikinimo standartai
Atsakymas: A
Paaiškinimas:
Politika ir standartai paprastai turėtų būti statiškesni ir rečiau keistis. Kita vertus, procedūros, ypač susijusios su operacinių sistemų tvirtinimu, bus nuolatos keičiamos; operacinėms sistemoms keičiantis ir
tobulėjant, grūdinimo procedūros turės neatsilikti.
NAUJAS 50 KLAUSIMAS
Kuris iš šių dalykų yra SVARBIAUSIA prielaida norint sukurti informacijos saugumo valdymą organizacijoje?
A. Vadovybės įsipareigojimas B. Informacijos

saugumo sistema C. Informacijos saugumo
organizacinė struktūra D. Informacijos saugumo politika
Atsakymas: A
Paaiškinimas:
Vyresniosios vadovybės įsipareigojimas yra būtinas, kad kiekvienas kitas elementas būtų sėkmingas. Be vyresniosios vadovybės įsipareigojimo, kiti elementai organizacijoje greičiausiai bus ignoruojami.
NAUJAS KLAUSIMAS 53
Kuris iš šių dalykų yra informacijos saugumo valdymo pranašumas?
A. Civilinės arba teisinės atsakomybės galimybės mažinimas B.

Pasitikėjimo pardavėjų santykiais suabejojimas C.
Nepilna valdymo informacija pagrįstų sprendimų rizikos didinimas D. Tiesioginis vyresniosios vadovybės
dalyvavimas kuriant kontrolės procesus
Atsakymas: A
Paaiškinimas:
informacijos saugumo valdymas sumažina civilinės ar teisinės atsakomybės riziką. Likę atsakymai neteisingi. Atrodo, kad D variantas yra teisingas, tačiau vyresnioji vadovybė prižiūrėtų ir patvirtintų, o ne
tiesioginis dalyvavimas kuriant kontrolės procesus.
NAUJAS KLAUSIMAS 57
Kuri iš toliau pateiktos informacijos yra SVARBIAUSIA įtraukti į strateginį informacijos saugumo planą?
A. Informacijos saugumo personalo reikalavimai B.

Dabartinė ir norima būsena C. IT kapitalo investicijų
reikalavimai D. Informacijos saugumo misijos
pareiškimas
Atsakymas: B
Paaiškinimas:
Svarbiausia nupiešti ateities viziją ir tada nubrėžti kelių žemėlapį nuo sustojimo iki norimos ateities būsenos. Darbuotojai, kapitalo investicijos ir misija – visa tai kyla iš šio fondo.
NAUJAS KLAUSIMAS 60
Saugumo technologijos turėtų būti parenkamos VISŲ pirma atsižvelgiant į:
A. gebėjimas sumažinti verslo riziką B.

vertinimai prekybos leidiniuose C. naujų ir
atsirandančių technologijų naudojimas D. nauda,
palyginti su jų sąnaudomis
Atsakymas: A
Paaiškinimas:
Svarbiausias vertinimo kriterijus tinkamai parenkant bet kokią saugos technologiją yra jos gebėjimas sumažinti arba pašalinti verslo riziką. Investicijos į saugumo technologijas turėtų būti pagrįstos bendra jų verte,
palyginti su jų sąnaudomis; vertę galima įrodyti rizikos mažinimo požiūriu. Tai turėtų būti svarbesnė už tai, ar jie naudoja naujas ar egzotiškas technologijas, ar kaip jos vertinamos prekybos leidiniuose.
NAUJAS 61 KLAUSIMAS
Informacijos saugos vadovas, susiejantis pareigybės aprašymą su prieigos prie duomenų tipais, greičiausiai laikysis kurio iš šių informacijos saugos principų?
A. Etika
B. Proporcingumas

Rekomenduoju!!
C. Integracija D.
Atskaitomybė
Atsakymas: B
Paaiškinimas:
Informacijos saugumo kontrolės priemonės turėtų būti proporcingos informacijos pakeitimo, atsisakymo naudoti ar atskleidimo rizikai. Patartina sužinoti, ar pareigybės aprašyme paskirstoma daugiau
duomenų, nei reikia toms pareigoms vykdyti verslo taisykles (prieigos prie duomenų tipai). Etikos ir integracijos principai mažiausiai susiję su darbo aprašymo susiejimu su duomenų prieigos tipais. Atskaitomybės
principas būtų antras labiausiai laikomasi principo, nes žmonės, turintys prieigą prie duomenų, ne visada gali būti atskaitingi, bet gali būti įpareigoti atlikti operaciją.
NAUJAS KLAUSIMAS 65
PAGRINDINIS tikslas kuriant informacijos saugumo strategiją yra:
A. nustatyti saugumo metriką ir veiklos stebėseną B. šviesti verslo

procesų savininkus apie jų pareigas C. užtikrinti, kad būtų laikomasi teisinių
ir reguliavimo reikalavimų D. palaikyti organizacijos verslo tikslus.
Atsakymas: D
Paaiškinimas:
organizacijos verslo tikslai pakeičia visus kitus veiksnius. Metrikų nustatymas ir našumo matavimas, teisinių ir reguliavimo reikalavimų laikymasis bei verslo procesų savininkų švietimas – visa tai
priklauso nuo šio bendro tikslo.
NAUJAS KLAUSIMAS 70
Kuris iš šių dalykų yra pats svarbiausias informacijos saugumo strategijos elementas?
A. Apibrėžti tikslai B.
Pristatymo terminai C. Kontrolės
sistemos priėmimas D. Išsami politika
Atsakymas: A
Paaiškinimas: Be
apibrėžtų tikslų negalima sukurti strategijos – plano tikslams pasiekti. Pristatymo terminai yra svarbūs, bet ne itin svarbūs įtraukiant į strategijos dokumentą. Panašiai, norint turėti sėkmingą informacijos saugumo
strategiją, kontrolės sistemos priėmimas nėra labai svarbus. Politika kuriama po strategijos įgyvendinimo ir kaip jos dalis.
NAUJAS KLAUSIMAS 72
Informacijos saugumo požiūriu informacija, kuri nebepalaiko pagrindinio verslo tikslo, turėtų būti:
A. analizuojama pagal saugojimo politiką B.

saugoma pagal informacijos klasifikavimo politiką C. analizuojama
pagal atsarginę politiką D. saugoma pagal
poveikio verslui analizę (BIA).
Atsakymas: A
Paaiškinimas: A
variantas yra analizės tipas, pagal kurį bus nustatyta, ar organizacija privalo saugoti duomenis dėl verslo, teisinių ar reguliavimo priežasčių. Duomenų, kurių nebereikia, saugojimas be reikalo eikvoja išteklius, o jei
yra jautri asmeninė informacija, gali padidėti duomenų sugadinimo rizika.
B parinktys. C ir D yra požymiai, į kuriuos reikėtų atsižvelgti sunaikinimo ir saugojimo politikoje. BIA gali padėti nustatyti, kad ši informacija nepatvirtina pagrindinio verslo tikslo, tačiau nenurodo veiksmų,
kurių reikia imtis.
NAUJAS KLAUSIMAS 75
Kuris iš šių dalykų būdingas centralizuotam informacijos saugumo valdymui?
A. Brangesnis administravimas B. Geresnis

politikos laikymasis C. Labiau suderintas
su verslo padalinio poreikiais D. Greitesnis užklausų
apdorojimas
Atsakymas: B
Paaiškinimas:
Informacijos saugumo valdymo centralizavimas užtikrina didesnį vienodumą ir geresnį saugumo politikos laikymąsi. Paprastai jį administruoti pigiau dėl masto ekonomijos. Tačiau apyvarta gali būti
lėtesnė, nes nėra suderinimo su verslo padaliniais.
NAUJAS KLAUSIMAS 78
PAGRINDINIS informacijos saugumo vadybininko rūpestis, dokumentuojantis oficialią duomenų saugojimo politiką, būtų:

Rekomenduoju!!
A. visuotinai priimta geriausia pramonės praktika B.

verslo reikalavimas C. teisės
aktų ir reguliavimo reikalavimas D. saugyklos
prieinamumas
Atsakymas: B
Paaiškinimas:
Pagrindinis rūpestis bus teisės aktų ir taisyklių laikymasis, bet tik tuo atveju, jei tai tikras verslo reikalavimas. Geriausia praktika gali būti naudingas vadovas, bet ne pagrindinis rūpestis. Teisės aktai ir reguliavimo
reikalavimai yra svarbūs tik tuo atveju, jei atitiktis yra verslo poreikis. Sandėliavimas nėra svarbus, nes turi būti pateikta viskas, ko reikia
NAUJAS 80 KLAUSIMAS
Peržiūrėjus, kuris iš šių dalykų GERIAUSIAI užtikrintų saugumo kontrolės veiksmingumą?
A. Rizikos vertinimo politika B.

Saugumo investicijų grąža C. Saugumo
metrika D. Vartotojo
prieigos teisės
Atsakymas: C
Paaiškinimas:
Saugos metrikos peržiūra suteikia vyresniajai vadovybei trumpą organizacijos saugos padėties vaizdą ir tendencijas. A pasirinkimas yra neteisingas, nes rizikos vertinimo politikos peržiūra neužtikrins, kad kontrolės
priemonės iš tikrųjų veikia. Pasirinkimas B yra neteisingas, nes peržiūrint investicijų į saugumą grąžą pateikiamas verslo pateisinimas diegiant valdiklius, tačiau neįvertinamas pačios kontrolės efektyvumas. D
pasirinkimas yra neteisingas, nes už naudotojo prieigos teisių peržiūrą bendrai atsako duomenų saugotojas ir duomenų savininkas, o tai neįvertina kontrolės efektyvumo.
NAUJAS KLAUSIMAS 83
Pagrindinis informacijos saugumo valdymo programos reikalavimas yra:
A. būti suderintas su įmonės verslo strategija B. būti pagrįstas

patikimu rizikos valdymo metodu C. užtikrinti tinkamą
reglamentavimo atitiktį D. pateikti geriausią saugumo
iniciatyvos praktiką
Atsakymas: A
Paaiškinimas:
norint gauti vyresniosios vadovybės pagalbą, informacijos saugos programa turi būti suderinta su įmonės verslo strategija. Rizikos valdymas yra informacijos saugumo programos reikalavimas,
kuriame turėtų būti atsižvelgiama į verslo strategiją. Saugumo valdymas yra daug platesnis nei tik taisyklių laikymasis. Geriausia praktika yra veiklos problema ir neturi tiesioginės įtakos valdymo
programai.
NAUJAS 88 KLAUSIMAS
Organizacija nusprendė perduoti didžiąją dalį IT skyriaus paslaugų tiekėjui, kuris priegloboja serverius užsienio šalyje. Kuris iš toliau nurodytų saugumo aspektų yra pats svarbiausias?
A. Kilmės šalies įstatymai ir teisės aktai gali būti neįgyvendinami užsienio šalyje. B. Pranešimas apie saugumo pažeidimą
gali būti atidėtas dėl laiko skirtumo C. Reikėtų įdiegti papildomus tinklo įsibrovimo aptikimo
jutiklius, dėl kurių atsiranda papildomas cos D. Bendrovė gali prarasti fizinę serverio kontrolę ir negalėti stebėti serverio fizinės
saugos padėties
Atsakymas: A
Paaiškinimas:
Įmonė laikosi šalies, kurioje ji gyvena, vietinių įstatymų ir taisyklių, net jei įmonė nusprendžia serverius pateikti tiekėjui, kuris serverius talpina užsienio šalyje. Galimas įmonei taikomų vietinių įstatymų pažeidimas
gali būti nepripažintas arba ištaisytas (ty patrauktas baudžiamojon atsakomybėn) dėl taikomų vietinių įstatymų stokos ir nesugebėjimo užtikrinti įstatymų. B variantas nėra problema. Laiko skirtumas neveikia 24
valandas per parą, 7 dienas per savaitę. Pranešimams perduoti paprastai galima naudoti pranešimų gaviklius, mobiliuosius telefonus, telefonus ir kt. C variantas yra įveikiama problema, kuriai reikia
papildomo finansavimo, tačiau ją galima išspręsti. D variantas yra problema, kurią galima išspręsti. Daugelis prieglobos paslaugų teikėjų standartizavo taikomą fizinės saugos lygį. Reguliarus fizinis auditas
arba SAS 70 ataskaita gali išspręsti tokias problemas.
NAUJAS KLAUSIMAS 91
Įgyvendindama informacijos saugumo valdymą, organizacija PIRMA turėtų:
A. priimti saugumo standartą B.

nustatyti saugumo bazę C. apibrėžti
saugumo strategiją D. nustatyti
saugumo politiką
Atsakymas: C
Paaiškinimas:
Pirmas žingsnis įgyvendinant informacijos saugos valdymą yra apibrėžti saugumo strategiją, pagal kurią nustatomos pagrindinės saugos linijos. Priėmimas

Rekomenduoju!!
Tinkami saugumo standartai, rizikos įvertinimas ir saugumo politikos įgyvendinimas yra žingsniai, atitinkantys saugumo strategijos apibrėžimą.
NAUJAS KLAUSIMAS 95
Gauti vyresniosios vadovybės paramą šiltos aikštelės įrengimui GERIAUSIAI galima pasiekti:
A. periodinių rizikos vertinimų nustatymas B.

reguliavimo reikalavimo skatinimas C. verslo
CAS plėtra D. veiksmingos metrikos
kūrimas
Atsakymas: C
Paaiškinimas:
Verslo atvejo kūrimas, įskaitant kaštų ir naudos analizę, bus labiausiai įtikinantis vadovybę. Rizikos įvertinimas gali būti įtrauktas į verslo lengvumą, tačiau pats savaime nebus toks veiksmingas siekiant gauti
vadovybės paramą. Vadovybės informavimas apie teisės aktų reikalavimus gali padėti sulaukti paramos iniciatyvoms, tačiau atsižvelgiant į tai, kad daugiau nei pusė organizacijų nesilaiko reglamentų, daugeliu
atvejų to nepakaks. Geri rodikliai, kurie užtikrina, kad iniciatyvos atitinka organizacinius tikslus, taip pat bus naudingi, tačiau jų nepakanka vadovybei gauti.
NAUJAS 99 KLAUSIMAS
Duomenų savininkai turi užtikrinti saugią aplinką, kad užtikrintų operacijos konfidencialumą, vientisumą ir prieinamumą. Tai yra informacijos saugumo pavyzdys:
A. baselin B.
strategija C.
procedur D.
polic
Atsakymas: D
Paaiškinimas:
politika yra aukšto lygio organizacijos įsitikinimų, tikslų, vaidmenų ir uždavinių pareiškimas. Pagrindinės sąlygos apima minimalų saugos lygį visoje organizacijoje.
Informacijos saugumo strategija suderina informacijos saugos programą su verslo tikslais, o ne pateikia kontrolės pareiškimus. Procedūra yra žingsnis po žingsnio procesas, kaip bus įgyvendinama politika ir
standartai.
NAUJAS 104 KLAUSIMAS

Kurią iš šių užduočių turi atlikti svarbiausias informacijos saugos pareigūnas (CISO)?
A. Atnaujinkite platformos lygio saugos nustatymus

B. Atlikite atkūrimo bandymus po nelaimės. C. Patvirtinkite
prieigą prie svarbiausių finansinių sistemų D. Parengkite
informacijos saugumo strategijos dokumentą
Atsakymas: D
Paaiškinimas:
Tikslingiausia būtų parengti informacijos saugumo strategijos dokumentą. Patvirtinti prieigą būtų duomenų savininko darbas. Platformos lygio saugumo atnaujinimas ir atkūrimo bandymų atlikimas būtų mažiau
svarbūs, nes tai yra administracinės užduotys.
NAUJAS KLAUSIMAS 105 Kas

galiausiai yra atsakingas už organizacijos informaciją?
A. Duomenų saugotojas
B. Vyriausiasis informacijos saugumo pareigūnas (CISO)

C. Direktorių valdyba D.
Vyriausiasis informacijos pareigūnas (CIO)
Atsakymas: C
Paaiškinimas:
Direktorių valdyba yra galutinai atsakinga už organizacijos informaciją ir jai pavesta reaguoti į problemas, turinčias įtakos jos apsaugai. Duomenų saugotojas yra atsakingas už duomenų priežiūrą ir
apsaugą. Paprastai šį vaidmenį atlieka IT skyrius. Vyriausiasis informacijos saugumo pareigūnas (CISO) yra atsakingas už saugumą ir vyresniosios vadovybės nurodymų vykdymą. Vyriausiasis informacijos
pareigūnas (CIO) yra atsakingas už informacines technologijas organizacijoje ir nėra galutinai atsakingas už organizacijos informaciją.
NAUJAS KLAUSIMAS 109

Siekdamas pabrėžti tinklo saugumo svarbą vadovybei, saugos vadybininkas PIRMA turėtų:
A. sukurti saugumo architektūrą B. įdiegti

tinklo įsibrovimų aptikimo sistemą (NIDS) ir parengti atakų sąrašą C. sukurti tinklo saugumo politiką D.
atlikti rizikos vertinimą
Atsakymas:

Rekomenduoju!!
Paaiškinimas:
Rizikos įvertinimas padėtų vadovybei labai aukštu lygiu suprasti grėsmes, tikimybes ir esamas kontrolės priemones. Apsaugos architektūros sukūrimas, tinklo įsibrovimo aptikimo sistemos (NIDS) įdiegimas ir atakų
prieš tinklą sąrašo parengimas bei tinklo saugumo politikos sukūrimas nebūtų toks efektyvus, kad išryškintų svarbą valdymui ir būtų sekamas tik atlikus rizikos vertinimą.

Į gerą privatumo pareiškimą turėtų būti įtraukta:
A. pranešimas apie atsakomybę už informacijos tikslumą B.

pranešimas, kad informacija bus užšifruota C. ką įmonė
darys su renkama informacija D. informacijos klasifikavimo proceso
aprašymas.
Atsakymas: C
Paaiškinimas:
pagal daugumą privatumo įstatymų ir taisyklių reikalaujama atskleisti, kaip informacija bus naudojama. Pasirinkimas A yra neteisingas, nes ši informacija turėtų būti pateikta svetainės atsakomybės atsisakyme.
Pasirinkimas B yra neteisingas, nes, nors gali būti taikomas šifravimas, tai paprastai neatskleidžiama. D pasirinkimas yra neteisingas, nes informacijos klasifikavimas būtų įtrauktas į atskirą politiką.

Informacijos saugumo strategijos dokumentas, kuriame pateikiamos konkrečios nuorodos į organizacijos verslo veiklą, PIRMIAUSIA yra rodiklis:
A. veiklos matavimo priemonės B.

integratio C.
alignmen D.
vertė pristatyti
Atsakymas: C
Paaiškinimas:
strateginis saugumo suderinimas su verslo tikslais yra pagrindinis veiklos vertinimo rodiklis. Vadovaujantis saugos programa, prasmingas veiklos vertinimas taip pat priklausys nuo verslo tikslų supratimo, kuris
bus suderinimo rezultatas. Verslo ryšiai savaime nereiškia integracijos ar vertės teikimo. Nors suderinimas yra svarbi išankstinė sąlyga, tai nėra toks svarbus rodiklis.

Kuris iš šių dalykų yra pats svarbiausias kuriant saugumo strategiją?
A. Sukurti teigiamą verslo saugumo aplinką B. Suprasti pagrindinius

verslo tikslus C. turėti atskaitomybę vyresniajai
vadovybei D. Pakankamų išteklių paskirstymas informacijos
saugumui
Atsakymas: B
Paaiškinimas:
Suderinimas su verslo strategija yra labai svarbus. Verslo tikslų supratimas yra labai svarbus nustatant organizacijos saugumo poreikius.

Verslo įrašų saugojimas visų pirma turėtų būti pagrįstas:
A. verslo strategija ir kryptis B. reguliavimo

ir teisinis reikalavimas C. saugojimo talpa ir
ilgaamžiškumas D. verslo paprastumo ir
vertės analizė
Atsakymas: B
Paaiškinimas:
verslo įrašų saugojimą paprastai lemia teisiniai ir reguliavimo reikalavimai. Verslo strategija ir kryptis paprastai nebūtų taikomos ir jos nepaisytų teisinių ir reguliavimo reikalavimų. Sandėliavimo talpa ir
ilgaamžiškumas yra svarbūs, bet antraeiliai dalykai. Verslo atvejo ir vertės analizė būtų antraeilė, palyginti su teisinių ir reguliavimo reikalavimų laikymusi.

Siekiant veiksmingo strateginio saugumo iniciatyvų derinimo, svarbu, kad:
A. Iniciatyvinio komiteto vadovybė parenkama rotacijos būdu B.

Gaunamas indėlis ir pasiektas sutarimas tarp pagrindinio organizacinio padalinio C. Verslo strategija periodiškai
atnaujinama D. Procedūras ir standartus tvirtina visų skyrių
vadovas

Machine Translated by Google Gaukite visas CISM išklotines VCE ir PDF iš SurePassExam https://
Rekomenduoju!!
Atsakymas: B
Paaiškinimas:
Svarbu pasiekti sutarimą dėl rizikos ir kontrolės bei gauti informaciją iš įvairių organizacinių subjektų, nes saugumas turi būti suderintas su organizacijos poreikiais. Valdymo komiteto vadovybės rotacija nepadeda
pasiekti strateginio derinimo. Verslo strategijos atnaujinimas nelemia strateginio saugumo iniciatyvų derinimo. Procedūras ir standartus neprivalo tvirtinti visų skyrių vadovai

Organizacijos direktorių valdyba sužinojo apie naujausius teisės aktus, reikalaujančius, kad pramonės organizacijos imtųsi konkrečių apsaugos priemonių, kad apsaugotų konfidencialią klientų informaciją. Kokių
veiksmų valdyba turėtų imtis toliau?
A. Tiesioginis informacijos saugumas apie tai, ką jie turi daryti B.

Ieškokite sprendimų, kad nustatytų tinkamus sprendimus C. Reikalauti,
kad vadovybė pateiktų ataskaitą apie atitiktį D. Nieko;
informacijos saugumas neatsiskaito valdybai
Atsakymas: C
Paaiškinimas: už
informacijos saugumo valdymą atsako direktorių valdyba ir vykdomoji vadovybė. Šiuo atveju tinkamas veiksmas yra užtikrinti, kad būtų parengtas reikalingų apsaugos priemonių įgyvendinimo planas, ir reikalauti
atnaujinti tą įgyvendinimą.
NAUJAS KLAUSIMAS 131 Į

kurį iš toliau nurodytų faktorių SVARBIAUSIAI reikia atsižvelgti, įgyvendinant efektyvų saugumo valdymą pagal įmonės saugumo strategijos reikalavimus?
A. Skelbtinų duomenų konfidencialumo išsaugojimas B.

Tarptautinių duomenų saugumo standartų nustatymas C. Įmonės privatumo
standartų laikymasis D. Sistemos vadovo atsakomybės
už informacijos saugumą nustatymas
Atsakymas: A
Paaiškinimas:
Informacijos saugumo tikslas yra apsaugoti organizacijos informacinį turtą. Tarptautiniai saugumo standartai priklauso nuo situacijos, priklausomai nuo įmonės ir jos verslo. Svarbu laikytis įmonės privatumo
standartų, tačiau tie standartai turi būti tinkami ir adekvatūs ir nėra svarbiausias veiksnys, į kurį reikia atsižvelgti. Visi darbuotojai yra atsakingi už informacijos saugumą, tačiau tai nėra svarbiausias veiksnys,
į kurį reikia atsižvelgti.

Įgyvendindamas informacijos saugumo valdymą, informacijos saugos vadovas PAGRINDINĖS pareigos yra:
A. saugumo strategijos rengimas B.

saugumo strategijos peržiūrėjimas C.
saugumo strategijos perdavimas D. saugumo
strategijos patvirtinimas
Atsakymas: A
Paaiškinimas:
Informacijos saugos vadovas yra atsakingas už saugos strategijos, pagrįstos verslo tikslais, kūrimą padedamas verslo procesų savininkų.
Už saugumo strategijos peržiūrą atsakingas valdymo komitetas. Informacijos saugumo vadovas nebūtinai yra atsakingas už komunikaciją ar saugumo strategijos patvirtinimą.

yra SVARBIAUSIAS veiksnys sėkmingai įgyvendinant visos įmonės informacijos saugumo programą?
A. Realios biudžeto sąmatos B.

Saugumo supratimas C.
Pagalba vyresniajai vadovybei D. Darbo
koeficiento perskaičiavimas
Atsakymas: C
Paaiškinimas: be
vyresniosios vadovybės paramos informacijos saugumo programa turi mažai galimybių išgyventi. Įmonės lyderių grupė, labiau nei bet kuri kita grupė, sėkmingiau vykdys programą. Jų autoritetinga padėtis
įmonėje yra pagrindinis veiksnys. Biudžeto patvirtinimui, išteklių įsipareigojimams ir dalyvavimui visos įmonės mastu taip pat reikalingas vyresniosios vadovybės dalyvavimas. Vyresnioji vadovybė yra
atsakinga už tinkamo biudžeto ir reikalingų išteklių skyrimą. Saugumo suvokimas yra svarbus, bet ne svarbiausias veiksnys. Darbo koeficiento perskaičiavimas yra rizikos valdymo dalis.

Įmonės el. prekybos svetainėje geras teisinis pareiškimas dėl duomenų privatumo turėtų apimti:

Rekomenduoju!!
A. pareiškimas apie tai, ką įmonė darys su renkama informacija B. atsisakymas dėl informacijos tikslumo
jos svetainėje C. techninė informacija apie tai, kaip informacija yra apsaugota D.
pareiškimas apie tai, kur informacija yra talpinama.
Atsakymas: A
Paaiškinimas:
pagal daugumą privatumo įstatymų ir taisyklių reikalaujama atskleisti, kaip informacija bus naudojama. Atsakomybės apribojimas nėra būtinas, nes jis nesusijęs su duomenų privatumu.
Techninė informacija apie informacijos apsaugą nėra privaloma skelbti svetainėje ir iš tikrųjų nebūtų pageidautina. Neprivaloma nurodyti, kur talpinama informacija.

Svarbiausias veiksnys planuojant ilgalaikį elektroniniu būdu saugomų verslo įrašų saugojimą yra atsižvelgti į galimus pokyčius:
A. saugojimo talpa ir galiojimo laikas B.

reguliavimo ir teisinis reikalavimas C. verslo
strategija ir kryptis D. taikomųjų sistemų ir
laikmenų
Atsakymas: D
Paaiškinimas:
ilgalaikiam verslo įrašų saugojimui gali turėti didelės įtakos taikomųjų programų sistemų ir laikmenų pokyčiai. Pavyzdžiui, duomenis, saugomus nestandartiniais formatais, kuriuos gali nuskaityti ir
interpretuoti tik anksčiau nebenaudojamos programos, gali būti sunku arba net neįmanoma atkurti. Verslo strategija ir kryptis paprastai netaikomos, taip pat netaikomi teisiniai ir reguliavimo reikalavimai.
Sandėliavimo talpa ir galiojimo laikas yra svarbūs, bet antraeiliai klausimai.
NAUJAS KLAUSIMAS 147 Kuri

iš šių priežasčių yra GERIAUSIA atlikti poveikio verslui analizę (BIA)?
A. Padėti nustatyti esamą rizikos būklę B. Tinkamai

numatyti biudžetą reikalingoms kontrolės priemonėms C.
Atitikti norminius reikalavimus D. Išanalizuoti
poveikį verslui
Atsakymas: A
Paaiškinimas: BIA
įtraukta į dabartinės rizikos būklės nustatymo procesą ir padeda nustatyti priimtinus poveikio lygius bei esamą atsako lygį, todėl atliekama spragų analizė. Dėl to gali būti sudarytas tinkamas biudžetas,
tačiau tai nėra priežastis atlikti analizę. Analizės atlikimas gali atitikti norminius reikalavimus, sąskaita nėra priežastis ją atlikti. Poveikio verslui analizė yra proceso dalis, tačiau taip pat reikia nustatyti poreikius
ar priimtiną poveikį ar atsaką.

Kuris iš šių GERIAUSIA pateisinimo įtikina vadovybę investuoti į informacijos saugos programą?
A. Išlaidų mažinimas
B. Įmonės politikos laikymasis C. Verslo turto

apsauga
D. Padidėjusi verslo vertė
Atsakymas: D
Paaiškinimas:
Investavimas į informacijos saugos programą turėtų padidinti verslo vertę ir pasitikėjimą. Sąnaudų mažinimas pats savaime retai motyvuoja įgyvendinti informacijos saugumo programą. Atitiktis yra antraeilė
verslo vertės atžvilgiu. Verslo vertės didinimas gali apimti verslo turto apsaugą.

Kokia PAGRINDINĖ rizika, kai Informacijos saugumo valdymo komitete nėra vartotojų valdymo atstovų?
A. Nepakankamai atsižvelgiama į funkcinius reikalavimus B. Vartotojų

mokymo programos gali būti netinkamos C. Biudžetai,
skirti verslo padaliniams, nėra tinkami D. Informacijos saugumo planai
nėra suderinti su verslo reikalavimais
Atsakymas: D
Paaiškinimas:
Iniciatyvinis komitetas, atsižvelgdamas į organizacijos poreikius, kontroliuoja informacijos saugumo strategijos vykdymą, priima sprendimą dėl projekto prioritetų nustatymo ir vykdymo plano.
Vartotojų valdymas yra svarbi grupė, kuriai turėtų būti atstovaujama siekiant užtikrinti, kad informacijos saugos planai būtų suderinti su verslo poreikiais. Funkciniai reikalavimai ir naudotojų mokymo programos
laikomos projektų dalimi, bet nėra pagrindinė rizika. Valdymo komitetas verslo padalinių biudžetų netvirtina.

Rekomenduoju!!

Kuris iš šių dalykų turėtų būti PIRMAS žingsnis kuriant informacijos saugumo planą?
A. Atlikite techninių pažeidžiamumų vertinimą B. Išanalizuokite
dabartinę verslo strategiją C. Atlikite verslo poveikio

analizę D. Įvertinkite dabartinį saugumo suvokimo
lygį
Atsakymas: B
Paaiškinimas:
Prieš įvertindamas techninius pažeidžiamumus arba saugumo suvokimo lygius, informacijos saugos vadovas turi suprasti dabartinę verslo strategiją ir kryptį. Poveikio verslui analizė turėtų būti atlikta prieš kuriant
veiklos tęstinumo planą, tačiau tai nebūtų tinkamas pirmasis žingsnis kuriant informacijos saugumo strategiją, nes joje pagrindinis dėmesys skiriamas prieinamumui.

Kuriant informacijos saugumo ketvirtinę ataskaitą vadovybei, SVARBIAUSIAS elementas, į kurį reikia atsižvelgti, turėtų būti:
A. informacijos saugumo metrika B.

žinios, reikalingos kiekvienai problemai analizuoti C.
ryšys su verslo srities tikslu D. bazinis rodiklis,
pagal kurį vertinama metrika
Atsakymas: C
Paaiškinimas:
sąsaja su verslo tikslais yra svarbiausias elementas, į kurį atsižvelgtų vadovybė. Informacijos saugumo metrika turėtų būti vertinama atsižvelgiant į poveikį valdymo tikslams. Nors ir svarbios, reikalingos saugumo
žinios nebūtų pirmasis elementas, į kurį reikia atsižvelgti. Pagrindas pagal informacijos saugos metriką bus svarstomas vėliau proceso metu.

Kokio tipo gynybos nuo sistemų kompromiso pavyzdys yra registravimas?
A. Sulaikymas B.
Aptikimas C.
Reakcija D.
Atkūrimas
Atsakymas: B
Paaiškinimas:
Aptikimo apsaugos priemonės apima registravimą, taip pat stebėjimą, matavimą, auditą, virusų ir įsibrovimų aptikimą. Apsaugos priemonių pavyzdžiai yra sąmoningumas, mokymas ir fizinio saugumo apsauga.
Reakcijos apsaugos pavyzdžiai yra reagavimas į incidentus, politikos ir procedūrų keitimas bei kontrolės tobulinimas. Atkūrimo apsaugos priemonių pavyzdžiai yra atsarginės kopijos ir atkūrimas, perjungimas ir
nuotolinės svetainės, veiklos tęstinumo planai ir atkūrimo planai po nelaimių.

Pasaulinės organizacijos informacijos saugos vadovas turi užtikrinti, kad vietinė informacijos saugos programa iš pradžių užtikrintų atitiktį:
A. įmonės duomenų privatumo politika

B. duomenų privatumo politika, kai duomenys renkami C.
būstinės šalies duomenų privatumo politika D. duomenų
privatumo direktyva, taikoma visame pasaulyje
Atsakymas: B
Paaiškinimas:
Vietinis subjektas, kaip dukterinė įmonė, turės laikytis vietinių įstatymų, reglamentuojančių šalyje renkamus duomenis. Vyresnioji vadovybė bus atsakinga už šį teisės aktų laikymąsi. Politika, būdama
vidinė, negali pakeisti vietos įstatymų. Be to, kadangi vietiniai teisės aktai skiriasi nuo šalies, kurioje yra organizacijos būstinė, mažai tikėtina, kad visos grupės politika atitiks visus vietinius teisinius reikalavimus.
Jei duomenys renkami vietoje (ir galbūt perkeliami į šalį, kurioje yra kitoks duomenų privatumo reglamentas), taikomi vietiniai įstatymai, o ne pagrindinei buveinei taikoma teisė. Duomenų privatumo įstatymai
taikomi konkrečiai šaliai.
NAUJAS 166 KLAUSIMAS Kai

organizacija pasamdo naują informacijos saugos vadybininką, kurio iš šių tikslų šis asmuo turėtų siekti PIRMIAUSIA?
A. Sukurti saugos architektūrą B. Užmegzti

gerą bendravimą su valdymo komiteto nariais C. Suburti patyrusį personalą D. Palyginti
kolegų organizacijas
Atsakymas: B
Paaiškinimas:
nauji informacijos saugos vadovai turėtų siekti užmegzti ryšį ir užmegzti bendravimo linijas su vyresniąja vadovybe, kad gautų jų paramą.
Lygiagrečių organizacijų lyginamoji analizė yra naudinga siekiant geriau suprasti geriausią pramonės praktiką, tačiau ji yra antraeilė, palyginti su vyresniosios vadovybės palaikymu. Panašiai,

Rekomenduoju!!
saugos architektūros kūrimas ir patyrusio personalo surinkimas yra tikslai, kuriuos galima pasiekti vėliau.

Kuris iš šių dalykų atspindi PAGRINDINĮ privatumo taisyklių akcentą?
A. Neribota duomenų gavyba B.

Tapatybės vagystė
C. Žmogaus teisių apsauga D.
Identifikuojami asmens duomenys
Atsakymas: D
Paaiškinimas:
identifikuojamų asmens duomenų apsaugai daugiausia dėmesio skiriama naujausiuose privatumo reglamentuose, tokiuose kaip Sveikatos draudimo perkeliamumo ir atskaitomybės įstatymas (HIPAA).
Duomenų gavyba yra priimtinas ad hoc ataskaitų teikimo įrankis; ji gali kelti grėsmę privatumui tik pažeidžiant reguliavimo institucijos nuostatas. Tapatybės vagystė yra galima privatumo
pažeidimų pasekmė, bet ne pagrindinis daugelio taisyklių akcentas. Žmogaus teisės sprendžia privatumo klausimus, bet nėra pagrindinis reglamentų akcentas.

Sukurti sėkmingą verslo modelį, skirtą informacijos saugos programinės įrangos produktams įsigyti, GERIAUSIAI gali padėti:
A. vertinant incidentų dažnumą B. kiekybiškai

įvertinant kontrolės gedimo išlaidas C.
apskaičiuojant investicijų grąžą (ROD projekcija D. išlaidų
palyginimas su panašia organizacija
Atsakymas: C
Paaiškinimas:
investicijų grąžos apskaičiavimas (ROD labiausiai suderins saugumą su įtaka apatinei eilutei. Incidentų dažnis ir kaina yra veiksniai, lemiantys poveikį verslui, tačiau vien jų nepakanka. Išlaidų palyginimas su
panašiomis organizacijos gali būti problemiškos, nes panašios organizacijos gali turėti skirtingus verslo tikslus ir norą rizikuoti.

Kuri iš šių situacijų DAUGIAU trukdytų efektyviai įgyvendinti saugumo valdymą:
A. Technologijų sudėtingumas B. Biudžeto

apribojimai C. Prieštaringi verslo
prioritetai D. Aukšto lygio rėmimas
Atsakymas: D
Paaiškinimas:
Vyresniosios vadovybės dalyvavimo ir paramos poreikis yra pagrindinis sėkmės veiksnys įgyvendinant tinkamą saugumo valdymą. Technologijų sudėtingumas, biudžeto suvaržymai ir prieštaringi verslo
prioritetai yra realybės, kurios turėtų būti įtrauktos į organizacijos valdymo modelį ir neturėtų būti laikomos trukdančiais.

Kuris iš šių dalykų turėtų būti įtrauktas į metinį informacijos saugumo biudžetą, kuris pateikiamas vadovybei patvirtinti?
A. Biudžeto išteklių sąnaudų ir naudos analizė B. Visi įmonės

rekomenduojami ištekliai C. Bendros nuosavybės išlaidos (TC'O)
D. Bazinio lygio palyginimai
Atsakymas: A
Paaiškinimas:
trumpas biudžeto išlaidų naudos paaiškinimas padeda perteikti kontekstą, kaip prašomi pirkiniai atitinka tikslus ir uždavinius, o tai savo ruožtu padeda didinti informacijos saugumo funkcijos ar
programos patikimumą. Privalumų paaiškinimai taip pat padeda įtraukti vyresniąją vadovybę į informacijos saugos programos palaikymą. Nors biudžete turėtų būti atsižvelgta į visus iš verslo gaunamus įnašus ir
rekomendacijas, biudžetas, kuris galiausiai pateikiamas vadovybei patvirtinti, turėtų apimti tik tuos elementus, kurie yra skirti įsigyti. TC'O gali paprašyti vadovybė ir jis gali būti pateiktas tam tikros pirkimo užklausos
priede, bet paprastai neįtraukiamas į metinį biudžetą. Pradiniai palyginimai (išlaidų palyginimai su kitomis įmonėmis ar pramonės šakomis) gali būti naudingi rengiant biudžetą arba pateikiant pagrindimą
atliekant vidinę atskiro pirkimo peržiūrą, tačiau jie nebūtų įtraukti į prašymą patvirtinti biudžetą.

Informacijos saugumas turėtų būti:
A. orientuotas į visos rizikos pašalinimą B.

pusiausvyrą tarp techninių ir verslo reikalavimų C. nulemtas reguliavimo
reikalavimo D. apibrėžtas direktorių tarybos

Rekomenduoju!!
Atsakymas: B
Paaiškinimas:
Informacijos saugumas turėtų užtikrinti, kad būtų pasiekti verslo tikslai, atsižvelgiant į turimas technines galimybes, išteklių apribojimus ir atitikties reikalavimus. Nepraktiška ir neįmanoma pašalinti visų pavojų.
Turi būti atsižvelgta į reguliavimo reikalavimus, tačiau jie yra įvesti į verslo aspektus. Direktorių valdyba neapibrėžia informacijos saugumo, bet nurodo kryptį, palaikydama verslo tikslus ir uždavinius.

Tinkamiausias vyresniosios vadovybės vaidmuo palaikant informacijos saugumą yra:
A. Pardavėjų, siūlančių saugos produktus, įvertinimas B.

Organizacijai kylančios rizikos įvertinimas C. Politikos
pareiškimų ir fondo patvirtinimas D. Stebėjimas, kaip
laikomasi reguliavimo reikalavimų
Atsakymas: C
Paaiškinimas:
kadangi už informacijos saugumą galiausiai atsakingi vyresniosios vadovybės nariai, jie yra galutiniai sprendimų priėmėjai valdymo ir vadovavimo atžvilgiu. Jie yra atsakingi už pagrindinių politikos pareiškimų
ir prašymų finansuoti informacijos saugumo praktiką patvirtinimą. Pardavėjų vertinimas, rizikos vertinimas ir norminių reikalavimų laikymosi kontrolė yra kasdienė informacijos saugumo vadovo pareiga; kai
kuriose organizacijose verslo vadyba dalyvauja šioje kitoje veikloje, nors pagrindinis jų vaidmuo yra vadovavimas ir valdymas.

Kuris iš šių reikalavimų turėtų žemiausią informacijos saugumo prioritetą?
A. Techninė B.
Reguliavimo C.
Privatumas
D. Verslas
Atsakymas: A
Paaiškinimas:
informacijos saugumo prioritetai kartais gali būti viršesni už technines specifikacijas, kurios turi būti perrašytos, kad atitiktų minimalius saugumo standartus. Reguliavimo ir privatumo reikalavimus nustato
vyriausybė, todėl jų negalima nepaisyti. Verslo poreikiai visada turėtų būti svarbesni sprendžiant informacijos saugumo prioritetus.

Kuris iš šių dalykų būtų labiausiai naudingas siekiant suderinti informacijos saugumą ir organizacijos tikslus?
A. Raktų valdymo stebėjimas B.

Tvirta saugumo supratimo programa C. Saugos
programa, leidžianti verslo veiklai D. Veiksminga saugos architektūra
Atsakymas: C
Paaiškinimas:
Saugos programa, įgalinanti verslo veiklą, būtų labiausiai naudinga siekiant suderinti informacijos saugumą ir organizacijos tikslus. Visi kiti pasirinkimai yra saugos programos dalis ir atskirai bei tiesiogiai
nepadėtų tiek, kiek saugumo programa.

Kuris informacijos saugumo programą yra pats naudingiausias informacijos šaltinis nustatant turimus išteklius?
A. Kvalifikacijos testas
B. Pareigybių aprašymai
C. Organizacinė schema D.
Įgūdžių aprašas
Atsakymas: D
Paaiškinimas:
Gebėjimų aprašas padėtų nustatyti turimus išteklius, bet kokias spragas ir mokymo reikalavimus kuriant išteklius. Kvalifikacijos tikrinimas yra naudingas, bet tik atsižvelgiant į konkrečius techninius įgūdžius.
Pareigybių aprašymai nebūtų tokie naudingi, nes jie gali būti pasenę arba nepakankamai išsamūs. Organizacinėje schemoje nepateikta išsami informacija, reikalinga šiai veiklai reikalingų išteklių nustatymui.

Kuris iš šių dalykų yra tinkamiausias įtraukti į informacijos saugumo strategiją?
A. Verslo kontrolė, paskirta kaip pagrindinės kontrolės priemonės

Rekomenduoju!!
B. Apsaugos procesai, metodai, įrankiai ir metodai C. Užkardos

taisyklių rinkiniai, numatytieji tinklo nustatymai ir įsibrovimo aptikimo sistemos (IDS) nustatymai D. Biudžeto
sąmatos, skirtos konkrečioms saugos priemonėms įsigyti
Atsakymas: B
Paaiškinimas:
saugumo tikslų, procesų, metodų, įrankių ir metodų rinkinys kartu sudaro saugumo strategiją. Nors IT ir verslo valdymas yra tarpusavyje susiję, verslo kontrolė gali būti neįtraukta į saugumo
strategiją. Biudžetai paprastai nebus įtraukti į informacijos saugumo strategiją. Be to, kol nebus suformuluota ir neįgyvendinta informacijos saugumo strategija, konkrečios priemonės nebus nustatytos ir
konkrečių išlaidų sąmatos nebus. Užkardos taisyklių rinkiniai, numatytieji tinklo nustatymai ir įsibrovimo aptikimo sistemos (IDS) nustatymai yra techninė informacija, kuri gali būti periodiškai keičiama ir nėra
tinkamas strateginio dokumento turinys.

Kuris iš šių būtų SVARBIAUSIAS informacijos saugumo valdymo programos tikslas?
A. Vidaus kontrolės mechanizmų peržiūra B. Efektyvus
įsitraukimas į verslo sprendimų priėmimą C. Visiškas rizikos veiksnių

pašalinimas D. Pasitikėjimo duomenimis
užtikrinimas
Atsakymas: D
Paaiškinimas:
Suinteresuotųjų šalių pasitikėjimo informacijos vientisumu ugdymas turėtų būti pagrindinis informacijos saugumo valdymo tikslas. Vidaus kontrolės mechanizmų peržiūra labiau susijusi su auditu, o visiškas
rizikos veiksnių pašalinimas nėra praktiškas ar įmanomas. Aktyvus dalyvavimas priimant verslo sprendimus reiškia, kad saugumo poreikiai diktuoja verslo poreikius, nors iš tikrųjų yra priešingai.
Dalyvavimas priimant sprendimus svarbus tik siekiant užtikrinti verslo duomenų vientisumą, kad duomenimis būtų galima pasitikėti.

Saugumo vadovas, atitinkantis tarptautinio asmens duomenų srauto reikalavimus, turės užtikrinti:
A. duomenų tvarkymo sutartis B.

duomenų apsaugos registracija C.
duomenų subjekto sutikimas D. subjekto
susipažinimo tvarka
Atsakymas: C
Paaiškinimas: kai
asmens duomenys perduodami už šalies ribų, būtinas duomenų subjektų sąmoningumas ir sutikimas. Pasirinkimai A, B ir D yra papildomi duomenų apsaugos reikalavimai, kurie nėra svarbūs tarptautiniam
duomenų perdavimui.

Naudingiausias būdas apibūdinti informacijos saugumo strategijos tikslus yra:
A. „norimos būsenos“ požymius ir charakteristikas.
B. bendrieji saugos programos kontrolės tikslai C. IT sistemų

susiejimas su pagrindiniu verslo procesu D. metinių nuostolių
apskaičiavimas
Atsakymas: A
Paaiškinimas:
Saugumo strategija paprastai apima daugybę problemų, procesų, technologijų ir rezultatų, kuriuos geriausiai galima apibūdinti norimų savybių ir atributų rinkiniu. Kontrolės tikslai kuriami po strategijos ir
politikos sukūrimo. IT sistemų susiejimas su pagrindiniais verslo procesais nesprendžia strategijos problemų. Skaičiuojant metinių nuostolių lūkesčius informacijos saugumo strategijoje nebūtų apibūdinti
tikslai.

Kuris iš toliau pateiktų variantų būtų GERIAUSIAS sistemos administratoriaus, kuris atlieka saugos funkcijas, atskaitomybei pagerinti?
A. Į pareigybės aprašymą įtraukite pareigas dėl saugumo B. Reikalauti,

kad administratorius gautų saugos sertifikatą C. Apmokykite sistemos
administratorių prasiskverbimo testavimo ir pažeidžiamumo vertinimo klausimais D. Apmokykite sistemos
administratorių rizikos vertinimo klausimais.
Atsakymas: A
Paaiškinimas:
Pirmas žingsnis siekiant pagerinti atskaitomybę – į pareigų aprašymą įtraukti su saugumu susijusias pareigas. Tai dokumentuoja, ko tikisi ir patvirtina organizacija. Kiti pasirinkimai – tai metodai,
užtikrinantys, kad sistemos administratorius būtų apmokytas atlikti pareigų aprašyme nurodytas pareigas.

Rekomenduoju!!

Kuris iš šių vaidmenų reikštų informacijos saugos vadovo interesų konfliktą?
A. Trečiųjų šalių, prašančių prisijungti, įvertinimas B. Atkūrimo planų

tinkamumo įvertinimas C. Galutinis informacijos saugumo politikos
patvirtinimas D. Stebėjimas, kaip laikomasi fizinės saugos
kontrolės priemonių
Atsakymas: C
Paaiškinimas:
kadangi vadovybė yra galutinai atsakinga už informacijos saugumą, ji turėtų patvirtinti informacijos saugumo politikos pareiškimus; informacijos saugos vadovas neturėtų turėti galutinio patvirtinimo. Trečiųjų
šalių, prašančių prieigos, vertinimas, atkūrimo planų įvertinimas ir fizinio saugumo kontrolės laikymosi stebėjimas yra priimtina praktika ir nesukelia jokių interesų konfliktų.

Kuris iš šių dalykų turėtų būti nustatytas apibrėžiant rizikos valdymo strategijas?
A. Rizikos vertinimo kriterijai B.
Organizaciniai tikslai ir noras rizikuoti C. IT architektūros

sudėtingumas D. Įmonių atkūrimo
planai nelaimės atveju
Atsakymas: B
Paaiškinimas:
Apibrėžiant rizikos valdymo strategijas, reikia išanalizuoti organizacijos tikslus ir rizikos apetitą bei, remiantis šia analize, apibrėžti rizikos valdymo sistemą. Kai kurios organizacijos gali priimti žinomą riziką, o
kitos gali investuoti ir taikyti mažinimo kontrolę, kad sumažintų riziką. Rizikos vertinimo kriterijai taptų šios sistemos dalimi, tačiau tik atlikus tinkamą analizę. IT architektūros sudėtingumas ir įmonės atkūrimo
planai nelaimingų atsitikimų atveju yra labiau susiję su rizikos įvertinimu, o ne su strategijų apibrėžimu.

Kuris iš šių dalykų būdingas decentralizuotam informacijos saugumo valdymui geografiškai išsklaidytoje organizacijoje?
A. Vienodesnė paslaugų kokybė B. Geresnis

politikos laikymasis C. Geresnis
derinimas su verslo padalinio poreikiais D. Daugiau
sutaupytų bendrų veiklos išlaidų
Atsakymas: C
Paaiškinimas:
Informacijos saugos valdymo decentralizavimas paprastai leidžia geriau suderinti verslo padalinių poreikius. Paprastai jį administruoti brangiau, nes trūksta masto ekonomijos. Paslaugų kokybės vienodumas
kiekviename padalinyje skiriasi.

Kuris iš šių savybių yra SVARBIAUSIAS žvelgiant į būsimus kandidatus į vyriausiojo informacijos saugumo pareigūno (CISO) pareigas?
A. Informacinių technologijų platformų, tinklų ir plėtros metodikų išmanymas B. Gebėjimas suprasti ir susieti organizacijos
poreikius su saugumo technologijomis C. Reguliacinės aplinkos ir projektų valdymo metodų išmanymas
D. Gebėjimas valdyti įvairią asmenų grupę ir išteklius visoje organizacijoje
Atsakymas: B
Paaiškinimas:
Informacijos saugumas bus tinkamai suderintas su verslo tikslais tik turint galimybę suprasti ir susieti organizacinius poreikius, kad būtų įjungtos saugos technologijos. Visi kiti pasirinkimai yra svarbūs, bet
antraeiliai, siekiant patenkinti verslo saugumo poreikius.

Kuriant reagavimo į incidentus procedūras, susijusias su serveriais, kuriuose talpinamos svarbios programos, apie kurį iš toliau nurodytų dalykų turėtų būti PIRMOJI pranešama?
A. Verslo valdymas B. Operacijų

vadovas C. Informacijos
saugumo vadovas D. Sistemos vartotojai
Atsakymas: C
Paaiškinimas:
Eskalavimo procese kritinėse situacijose turėtų dalyvauti informacijos saugos vadovas kaip pirmasis kontaktas, kad prireikus būtų atliekami atitinkami eskalavimo veiksmai. Apie A, B ir D pasirinkimus bus
atitinkamai pranešta.

Rekomenduoju!!

Saugumo technologijų ryšiai GERIAUSIAI apibrėžiami pagal kuriuos iš šių dalykų?
A. Saugumo metrika B.
Tinklo topologija C.
Saugumo architektūra D.
Procesų tobulinimo modeliai
Atsakymas: C
Paaiškinimas:
saugos architektūra paaiškina saugos mechanizmų naudojimą ir ryšius. Saugumo metrika matuoja saugumo praktikos pagerėjimą, tačiau nepaaiškina saugumo technologijų naudojimo ir sąsajų. Procesų
tobulinimo modeliai ir tinklo topologijos diagramos taip pat neaprašo šių technologijų naudojimo ir sąsajų.

GERIAUSIAS būdas pagrįsti vieno prisijungimo (SSO) produkto diegimą yra naudoti:
A. investicijų grąža (RO B.

pažeidžiamumo įvertinimas C. metinių
nuostolių prognozė (ALE).
D. verslo byla
Atsakymas: D
Paaiškinimas:
verslo atvejis rodo tiek tiesioginę, tiek netiesioginę naudą, taip pat reikalingas investicijas ir numatomą grąžą, todėl ją naudinga pateikti vyresniajai vadovybei. Investicijų grąža (ROD suteiktų tik išlaidas,
reikalingas tam, kad būtų išvengta specifinės rizikos, ir nesuteiktų kitos netiesioginės naudos, pvz., proceso tobulinimo ir mokymosi. Pažeidžiamumo vertinimas yra labiau techninio pobūdžio ir leistų tik
nustatyti ir įvertinti pažeidžiamumą. neteikia įžvalgų apie netiesioginę naudą. Tikėtina metinė nuostolių prognozė (ALE) nepasveria vienkartinio prisijungimo (SSO) diegimo pranašumų, palyginti su įgyvendinimo
išlaidomis.
NAUJAS 231 KLAUSIMAS Kas

turėtų vadovauti organizacijos rizikos analizei?
A. Vyresnysis vadovas B.
Apsaugos vadovas C.
Kokybės vadovas D.
Teisės skyrius
Atsakymas: B
Paaiškinimas:
nors vyresnioji vadovybė turėtų remti ir remti rizikos analizę, techninė patirtis ir projekto valdymas priklausys saugumo skyriui.
Prie projekto prisidės kokybės vadyba ir teisės skyrius.

Informacijos saugumo projektams pirmenybė turėtų būti teikiama remiantis:
A. įgyvendinimui reikalingas laikas B. poveikis

organizacijai C. visos įgyvendinimo
išlaidos D. reikalingų išteklių derinys
Atsakymas: AB
Paaiškinimas: Informacijos saugumo projektai turėtų būti vertinami atsižvelgiant į teigiamą poveikį, kurį jie turės organizacijai. Laiko, sąnaudų ir išteklių klausimai turėtų būti pavaldūs šiam tikslui.

SVARBIAUSIAS veiksnys, užtikrinantis informacijos saugumo programos sėkmę, yra efektyvus:
A. informacijos saugumo reikalavimų perdavimas visiems organizacijos vartotojams B. informacijos saugumo

politikos ir procedūrų formulavimas C. derinimas su organizacijos tikslais ir
uždaviniais.
D. stebėti, kaip laikomasi informacijos saugumo politikos ir procedūrų
Atsakymas: C
Paaiškinimas:
Saugos programų sėkmė priklauso nuo suderinimo su organizacijos tikslais ir uždaviniais. Bendravimas yra antraeilis žingsnis. Veiksminga komunikacija ir vartotojų švietimas yra esminis sėkmės
veiksnys, tačiau derėjimas su organizacijos tikslais ir uždaviniais yra svarbiausias sėkmės veiksnys. Vien politikos formavimas be veiksmingos komunikacijos su vartotojais neužtikrins sėkmės. Informacijos
saugumo politikos ir procedūrų laikymosi stebėjimas geriausiu atveju gali būti aptikimo mechanizmas, kuris nesukels sėkmės tarp neinformuotų vartotojų.

Rekomenduoju!!

Saugumo kontrolės įgyvendinimo išlaidos neturėtų viršyti:
A. metinis nuostolis numatomas B.

įvykio kaina C. turto vertė
D. įgyvendinimo
alternatyvioji kaina
Atsakymas: C
Paaiškinimas:
saugos kontrolės priemonių įdiegimo išlaidos neturėtų viršyti turto vertės. Tikėtina metinė nuostolių prognozė reiškia nuostolius, kurių tikimasi patirti per vienus kalendorinius metus. Apsaugos
mechanizmas gali kainuoti daugiau nei ši suma (arba vieno incidento kaina) ir vis tiek gali būti laikomas ekonomiškai efektyviu. Alternatyvios išlaidos yra susijusios su pajamomis, prarastomis atsisakius
įsigyti daiktą arba priėmus verslo sprendimą.

Informacijos saugos vadovas globalioje organizacijoje, kuriai taikomas kelių vyriausybinių jurisdikcijų reguliavimas ir skirtingi reikalavimai, turėtų:
A. užtikrinti, kad visos vietos atitiktų bendrus visos vyriausybinės jurisdikcijos reikalavimus B. nustatyti bazinius standartus visoms
vietovėms ir prireikus pridėti papildomų standartų C. užtikrinti, kad visos vietos atitiktų visuotinai priimtą geriausios
pramonės praktikos rinkinį D. nustatyti bazinį lygį. standartą, apimantį tuos reikalavimus, kuriuos bendrai turi visos
jurisdikcijos
Atsakymas: B
Paaiškinimas:
Veiksmingiau nustatyti pradinį standartą ir tada parengti papildomus standartus vietoms, kurios turi atitikti konkrečius reikalavimus. Ieškant mažiausio bendro vardiklio arba tiesiog naudojant geriausią
pramonės praktiką, tam tikros vietos gali neatitikti teisės aktų reikalavimų. Priešingas požiūris – verčiant visas vietas laikytis taisyklių, toms vietoms užkraunama pernelyg didelė našta.

PIRMASIS žingsnis kuriant vidinę kultūrą, orientuotą į informacijos saugumą, yra:
A. įgyvendinti stipresnę kontrolę B.

rengti periodinius sąmoningumo mokymus C.
aktyviai stebėti veiklą D. gauti
vykdomųjų vadovų pritarimą
Atsakymas: D
Paaiškinimas:
vykdomojo valdymo patvirtinimas politikos forma suteikia kryptį ir supratimą. Įdiegus griežtesnę kontrolę, gali būti vengiama. Sąmoningumo ugdymas yra svarbus, bet turi būti grindžiamas
politika. Aktyvus stebėjimas neturės įtakos kultūrai visais lygmenimis.
NAUJAS 247 KLAUSIMAS,

kas, atlikęs išsamų IT rizikos vertinimą, gali GERIAUSIAI nuspręsti, kokias mažinimo kontrolės priemones reikėtų įgyvendinti?
A. Vyresnysis vadovas B. Verslo

vadovas C. IT audito vadovas
D. Informacijos saugumo
pareigūnas (ISO)
Atsakymas: B
Paaiškinimas:
Verslo vadovas bus geriausioje padėtyje, remiantis rizikos įvertinimu ir mažinimo pasiūlymais. pagal verslo strategiją ir biudžetą nuspręsti, kokias kontrolės priemones reikėtų/galėtų įgyvendinti. Vyresnioji
vadovybė turės užtikrinti, kad verslo vadovas aiškiai suprastų įvertintą riziką, tačiau jokiu būdu negalės nuspręsti dėl konkrečių kontrolės priemonių. IT audito vadovas dalyvaus grėsmių ir pažeidžiamumų
nustatymo procese bei pateiks rekomendacijas dėl jų mažinimo. Informacijos saugumo pareigūnas (ISO) gali priimti kai kuriuos sprendimus dėl kontrolės įgyvendinimo. Tačiau verslo vadovas turės platesnį verslo
vaizdą ir visišką biudžeto kontrolę, todėl turės geresnes galimybes priimti strateginius sprendimus.

Kuris iš šių dalykų būtų naudingiausias kuriant atkūrimo laiko tikslus (RTO)?
A. Spragų analizė B.
Regresinė analizė C. Rizikos
analizė D. Verslo
poveikio analizė
Atsakymas: D

Rekomenduoju!!
Paaiškinimas:
Atkūrimo laiko tikslai (RTO) yra pagrindinis verslo poveikio analizės rezultatas. RTO yra susiję su finansiniu sistemos nepasiekimo poveikiu. Spragų analizė yra naudinga sprendžiant skirtumus tarp dabartinės
ir idealios ateities būsenos. Regresinė analizė naudojama programos modulių pakeitimams išbandyti. Rizikos analizė yra verslo poveikio analizės komponentas.

Prieš atlikdamas oficialų organizacijos informacinių išteklių rizikos vertinimą, informacijos saugos vadovas PIRMA turėtų:
A. nustatyti pagrindines grėsmes verslo tikslui B. peržiūrėti

turimus rizikos informacijos šaltinius C. nustatyti
svarbiausio turto vertę D. nustatyti finansinį poveikį,

jei grėsmės išsipildys.
Atsakymas: A
Paaiškinimas:
Rizikos žemėlapis arba pagrindinių grėsmių organizacijai makro įvertinimas yra paprastas pirmas žingsnis prieš atliekant rizikos vertinimą. Visų turimų rizikos informacijos šaltinių rinkimas yra rizikos vertinimo
dalis. C ir D pasirinkimai taip pat yra rizikos vertinimo proceso sudedamosios dalys, kurios atliekamos po grėsmių ir verslo žemėlapių sudarymo.

Norėdamas nustatyti valdiklių, reikalingų verslo tikslams pasiekti, pasirinkimą, informacijos saugos vadovas turėtų:
A. suteikti pirmenybę vaidmenimis pagrįstos prieigos kontrolės

naudojimui B. sutelkti dėmesį į
pagrindinį valdymą C. apriboti valdymą tik svarbiomis
programomis D. sutelkti dėmesį į automatinį valdymą
Atsakymas: B
Paaiškinimas:
pagrindinės kontrolės priemonės pirmiausia sumažina riziką ir yra veiksmingiausios informacijos turtui apsaugoti. Kiti pasirinkimai gali būti galimų pagrindinių valdiklių pavyzdžiai.

Rizikos valdymo programos yra skirtos sumažinti riziką:
A. lygis, kuris yra per mažas, kad jį būtų galima išmatuoti

B. taškas, kai nauda viršija išlaidas C. lygis, kurį organizacija nori
priimti D. grąžos norma, lygi dabartinėms gyventojų sąnaudoms.
Atsakymas: C
Paaiškinimas:
Rizika turi būti sumažinta iki tokio lygio, kurį organizacija nori priimti. Rizikos sumažinimas iki per mažo lygio, kurį būtų galima išmatuoti, yra nepraktiška ir dažnai tai kainuoja.
Norint susieti riziką su konkrečia grąžos norma, neatsižvelgiama į kokybinius rizikos aspektus, į kuriuos taip pat reikia atsižvelgti. Priklausomai nuo organizacijos pirmenybės rizikos, ji gali arba gali nuspręsti
sumažinti riziką iki taško, kai nauda prilygsta arba viršija išlaidas. Todėl C pasirinkimas yra tikslesnis atsakymas.

Vienas iš būdų nustatyti kontrolės efektyvumą yra nustatyti:
A. ar tai prevencinis, detektyvinis ar kompensacinis B. gebėjimas

pranešti apie gedimą C. numatyto tikslo bandymo rezultatai
D. patikimumo įvertinimas ir analizė
Atsakymas: C
Paaiškinimas:
Kontrolės veiksmingumui reikalingas procesas, skirtas patikrinti, ar kontrolės procesas veikė taip, kaip numatyta. Tokie pavyzdžiai kaip dviguba kontrolė arba dvejopo įrašo buhalterija leidžia patikrinti ir
užtikrinti, kad procesas veikė taip, kaip numatyta. Valdymo tipas nėra svarbus, o pranešimas apie gedimą nėra lemiamas valdymo stiprumo. Patikimumas nėra valdymo stiprumo rodiklis; silpnos kontrolės
priemonės gali būti labai patikimos, net jei jos yra neveiksmingos.
NAUJAS 263 KLAUSIMAS Kurį

iš toliau nurodytų dalykų saugos vadovas nustatytų, kad nustatytų normalaus apdorojimo atkūrimo tikslą?
A. Atkūrimo) laiko tikslas (RTO)

B. Didžiausias toleruotinas išjungimas (VTO)
C. Atkūrimo taškų tikslai (RPO)
D. Paslaugų teikimo tikslai (SDO)

Rekomenduoju!!
Atsakymas: A
Paaiškinimas:
Atkūrimo laiko tikslas (RTO) – tai laikotarpis nuo pertraukimo momento iki to laiko, kai procesas turi veikti paslaugų lygiu, kurio pakaktų finansiniam ir veiklos poveikiui apriboti iki priimtino lygio. Maksimalus
toleruojamas išjungimas (MTO) yra maksimalus laikas, kurį organizacija gali veikti sumažintu režimu. Atkūrimo taškų tikslai (RPO) yra susiję su duomenų, reikalingų atkūrimui, amžiumi. Paslaugų teikimo tikslai
(SDO) yra paslaugų lygiai, kurių reikia sumažintuoju režimu.

Organizacija turi laikytis neseniai paskelbtų pramonės norminių reikalavimų – atitikties, kuri gali turėti didelių įgyvendinimo išlaidų. Ką PIRMIAUSIA turėtų padaryti informacijos saugos vadovas?
A. Įdiekite saugumo komitetą B. Atlikite

spragų analizę C. Įdiekite
kompensavimo kontrolę D. Reikalaukite
nedelsiant laikytis reikalavimų
Atsakymas: B
Paaiškinimas:
kadangi tai yra reguliavimo reikalavimai, spragų analizė būtų pirmasis žingsnis siekiant nustatyti jau taikomą atitikties lygį. Saugumo komiteto sukūrimas ar kontrolės kompensavimas nebūtų pirmas
žingsnis. Reikalavimas nedelsiant laikytis situacijos neįvertintų.

Informacinio turto vertę GERIAUSIA nustato:
A. individualaus verslo vadovas B. verslo

sistemų analitikas C. informacijos
saugumo vadovai D. pramonės vidurkiai
etalonas
Atsakymas: A
Paaiškinimas:
Individualūs verslo vadovai gali geriausiai nustatyti informacinio turto vertę, nes jie geriausiai žino apie turto poveikį verslui. Verslo sistemų kūrėjai ir informacijos saugumo vadybininkai nėra tiek gerai išmanantys
poveikį verslui. Lygiaverčių įmonių pramonės vidurkiai nebūtinai suteikia pakankamai išsamios informacijos ir nėra tokie svarbūs unikaliems verslo aspektams.

GERIAUSIA rizikos valdymo strategija yra:
A. pasiekti rizikos ir organizacinio tikslo pusiausvyrą B. sumažinti riziką iki

priimtino lygio C. užtikrinti, kad kuriant politiką
būtų tinkamai atsižvelgta į organizacinę riziką D. užtikrinti, kad vadovai priimtų visą nemažinamą
riziką
Atsakymas: B
Paaiškinimas:
Geriausia rizikos valdymo strategija yra sumažinti riziką iki priimtino lygio, nes taip bus atsižvelgta į organizacijos potraukį rizikuoti ir į tai, kad būtų nepraktiška pašalinti visos rizikos. Pasiekti pusiausvyrą tarp
rizikos ir organizacijos tikslų ne visada praktiška. Kuriant politiką reikia atsižvelgti į organizacinę riziką ir verslo tikslus. Gali būti protinga užtikrinti, kad vadovybė suprastų ir priimtų riziką, kurios ji nenori
sušvelninti, tačiau tai yra praktika ir to nepakanka, kad būtų galima laikyti strategiją.

Kuris iš šių dalykų būtų pats svarbiausias veiksnys, į kurį reikia atsižvelgti praradus mobiliąją įrangą su nešifruotais duomenimis?
A. Asmeninės informacijos atskleidimas B.

Pakankamas draudimo polisas dėl atsitiktinių nuostolių C. Įrangoje saugomų duomenų
tikroji vertė D. Įrangos pakeitimo kaina
Atsakymas: C
Paaiškinimas:
pametus arba pavagiant mobiliąją įrangą, nustatant praradimo poveikį svarbiausia apie ją esanti informacija. Kuo jautresnė informacija, tuo didesnė atsakomybė. Jei darbuotojai nešiojasi mobilią įrangą verslo
tikslais, organizacija turi parengti aiškią politiką, kokia informacija turėtų būti saugoma ant įrangos ir kokiu tikslu. Asmeninė informacija klausime neapibrėžiama kaip prarasti duomenys. Draudimas gali būti
santykinai mažesnė problema, palyginti su informacijos vagyste ar galimybių praradimu, nors draudimas taip pat yra svarbus sėkmingo verslo veiksnys. Įrangos kaina būtų mažiau svarbi problema, palyginti su
kitais pasirinkimais.

Rekomenduoju!!
Kadrų perdavimo tinklo ryšio praradimo 18–24 valandoms poveikis turėtų būti apskaičiuojamas naudojant:
A. valandinis atsiskaitymo tarifas, taikomas vežėjo B.

duomenų, perduodamų tinklu, vertė
C. bendra kompensacija visiems paveiktiems verslo naudotojams D.

finansiniai nuostoliai, kuriuos patyrė paveiktas verslo padalinys
Atsakymas: D
Paaiškinimas:
Apskaičiuojant nuostolio poveikį, svarbiausia yra tai, kokia jo kaina bus organizacijai. Visi kiti pasirinkimai yra veiksniai, kurie prisideda prie bendro poveikio piniginei santykiams.

Informacijos saugumo vadybininkas buvo paskirtas įgyvendinti griežtesnes prevencines priemones. Tai darant grynasis poveikis, visų pirma, sumažins:
A. threa
B. los
C. vulnerabilit D.
tikimybė
Atsakymas: C
Paaiškinimas:
griežčiau ribojančių prevencinių kontrolės priemonių įgyvendinimas sumažina pažeidžiamumą, bet ne grėsmes. Nuostoliai ir jų atsiradimo tikimybė negali būti pirmiausia arba tiesiogiai paveikti.

Užpuolikai, kurie išnaudoja kelių svetainių scenarijų pažeidžiamumą, naudojasi:
A. tinkamos įvesties patvirtinimo kontrolės trūkumas

B. silpnas autentifikavimo valdymas žiniatinklio programos lygyje C. ydingas
kriptografinio saugiųjų lizdų sluoksnio (SSL) diegimas ir trumpas rakto ilgis D. numanomas žiniatinklio programos
pasitikėjimo ryšys
Atsakymas: A
Paaiškinimas:
Kelių svetainių scenarijų atakos įveda netinkamai suformuotą įvestį. Užpuolikai, išnaudojantys silpnus programų autentifikavimo valdiklius, gali gauti neteisėtą prieigą prie programų, o tai mažai ką bendro
turi su kelių svetainių scenarijų pažeidžiamumu. Užpuolikai, kurie išnaudoja ydingus kriptografinių saugiųjų lizdų sluoksnio (SSI.) diegimus ir trumpus raktų ilgius, gali užuosti tinklo srautą ir nulaužti raktus, kad
gautų neteisėtą prieigą prie informacijos. Tai turi mažai ką bendro su kelių svetainių scenarijų pažeidžiamumu. Žiniatinklio programų pasitikėjimo santykiai nėra tiesiogiai susiję su ataka.

Nuolatinis ištaisymo pastangų sekimas, siekiant sumažinti nustatytą riziką, GERIAUSIAI gali būti atliktas naudojant kurį iš toliau nurodytų priemonių?
A. Medžių diagramos
B. Venno diagramos C.
Šilumos diagramos
D. Juostinės diagramos
Atsakymas: C
Paaiškinimas:
mėsos lentelės, kartais vadinamos šviesoforų diagramomis, greitai ir aiškiai parodo esamą ištaisymo veiksmų būseną. Venno diagramos rodo ryšį tarp aibių; medžių diagramos yra naudingos sprendimų
analizei; ir juostinėse diagramose rodomas santykinis dydis.

Sistemos administratorius ne iš karto nepranešė apsaugos pareigūnui apie kenkėjišką ataką. Informacijos saugumo vadovas galėtų užkirsti kelią tokiai situacijai:
A. periodiškai tikrinant reagavimo į incidentus planą B.

reguliariai tikrinant įsibrovimų aptikimo sistemą (IDS).
C. nustatyti privalomą visų darbuotojų mokymą D. periodiškai
peržiūrėti reagavimo į incidentus tvarką
Atsakymas: A
Paaiškinimas:
Saugos incidentų reagavimo planai turi būti išbandyti, kad būtų nustatyti trūkumai ir patobulinti esami procesai. Įsibrovimų aptikimo sistemos (IDS) bandymas yra gera praktika, tačiau tai nebūtų išvengta. Visi
darbuotojai turi praeiti formalius mokymus, kad įsitikintų, jog jie supranta su saugumo incidentais susijusius procesus, įrankius ir metodiką. Tačiau faktinių planų testavimas yra veiksmingesnis siekiant
užtikrinti, kad procesas vyktų taip, kaip numatyta. Nepakanka peržiūrėti reagavimo procedūras; saugumo reagavimo planą reikia reguliariai tikrinti.

Rekomenduoju!!

Kuris iš šių dalykų GERIAUSIAI sumažina sukčiavimą?
A. Saugumo stebėjimo programinė

įranga B.
Šifravimas C. Dviejų veiksnių
autentifikavimas D. Vartotojo informuotumas
Atsakymas: D
Paaiškinimas:
sukčiavimą geriausiai gali aptikti vartotojas. Jį galima sumažinti tinkamai informuojant vartotoją. Saugumo stebėjimo programinė įranga suteiktų tam tikrą apsaugą, bet nebūtų tokia efektyvi, kaip vartotojų
informuotumas. Šifravimas ir dviejų veiksnių autentifikavimas šios grėsmės nesumažins.

Duomenų saugotojų organizacijos atsakomybė už saugumą apims:
A. darant prielaidą bendrai informacijos ištekliaus apsaugai B.

nustatyti duomenų įslaptinimo lygį C. įdiegti
saugos kontrolę gaminiuose, kuriuos jie įdiegia D. užtikrinti, kad saugumo
priemonės atitiktų politiką
Atsakymas: D
Paaiškinimas:
Duomenų saugotojų organizacijos saugumo pareigos apima atitinkamų saugos priemonių palaikymą ir organizacijos politiką. Vykdomoji vadovybė prisiima bendrą atsakomybę už informacijos išteklių
apsaugą. Duomenų savininkai nustato informacijos išteklių duomenų klasifikavimo lygius, kad būtų galima numatyti atitinkamus valdymo lygius, kad būtų laikomasi su konfidencialumo, vientisumo ir
pasiekiamumo reikalavimais.
Už informacijos saugumo diegimą produktuose atsako IT kūrėjai.

Kuris iš šių dalykų yra rizikos priėmimas?
A. Įvertinimas B.
Švelninimas C.
Įvertinimas D.
Stebėsena
Atsakymas: B
Paaiškinimas:
Rizikos priėmimas yra viena iš alternatyvų, kurią reikia apsvarstyti rizikos mažinimo procese. Vertinimas ir įvertinimas yra rizikos analizės proceso sudedamosios dalys.
Rizikos priėmimas nėra stebėjimo komponentas.

Kuris iš šių dalykų yra PAGRINDINĖ būtina sąlyga norint organizacijoje įdiegti duomenų klasifikavimą?
A. Darbo vaidmenų
nustatymas B. Rizikos įvertinimas C.
Duomenų savininkų nustatymas
D. Duomenų saugojimo politikos nustatymas
Atsakymas: C
Paaiškinimas:
Duomenų savininkų nustatymas yra pirmasis žingsnis ir būtinas įgyvendinant duomenų klasifikavimą. Darbo vaidmenų apibrėžimas nėra aktualus. Rizikos įvertinimas yra svarbus, tačiau tam reikės duomenų
savininkų (kurie pirmiausia turi būti nustatyti). Duomenų saugojimo politika gali būti nustatyta po to, kai duomenys buvo įslaptinti.

Kuriuo kūrimo etapu PATINGIAUSIA pradėti vertinti naujos paraiškų teikimo sistemos riziką?
A. Galimybės B.
Projektavimas
C. Kūrimas D.
Testavimas
Atsakymas: A
Paaiškinimas:
Rizika turėtų būti sprendžiama kuo anksčiau kuriant naują programų sistemą. Kai kuriais atvejais nustatyta rizika gali būti sumažinta pakeitus projektą. Jei reikiami pakeitimai nenustatomi, kol projektavimas jau
nepradėtas, tokie pakeitimai brangsta. Dėl šios priežasties rizikos vertinimo pradžia projektavimo, kūrimo ar testavimo etapuose nėra geriausias sprendimas.

Rekomenduoju!!

Sėkminga rizikos valdymo programa turėtų lemti:
A. Rizikos mažinimo pastangų optimizavimas prieš CO. B. Nuostolių

sumažinimas iki metinės biudžeto sumos C. Visos žmogaus sukeltos
grėsmės nustatymas ir pašalinimas D. Visos organizacinės rizikos
pašalinimas arba perkėlimas
Atsakymas: A
Paaiškinimas:
Sėkmingas rizikos valdymas turėtų padėti sumažinti riziką ir sumažinti išlaidas. Kiti išvardyti variantai neįgyvendinami. Grėsmių negalima visiškai pašalinti ar perkelti, o nuostoliai negali būti iš anksto visiškai
užtikrintai numatyti biudžete.

Tikimasi, kad rizikos valdymo programa:
A. pašalinti visus būdingus ris
B. išlaikyti likutinę riziką priimtinu lygiu C. įgyvendinti

prevencines priemones kiekvienai sričiai D. sumažinti kontrolės
riziką iki nulio
Atsakymas: B
Paaiškinimas:
Rizikos valdymo tikslas – užtikrinti, kad visa likutinė rizika būtų išlaikyta verslui priimtinu lygiu; nesiekiama pašalinti kiekvienos nustatytos rizikos arba įdiegti kiekvienos grėsmės kontrolės priemones, nes tai gali būti
nenaudinga. Kontrolės rizika, ty, kad kontrolė gali būti neveiksminga, yra programos dalis, tačiau mažai tikėtina, kad ji bus sumažinta iki nulio.

Kai kompiuterinių incidentų reagavimo komanda (CIRT) randa aiškių įrodymų, kad įsilaužėlis įsiskverbė į įmonės tinklą ir pakeitė kliento informaciją, informacijos saugos vadybininkas PIRMAI turėtų pranešti:
A. informacijos saugumo valdymo komitetas B. klientai,

kurie gali turėti įtakos C. duomenų savininkai,
kurie gali būti paveikti D. reguliavimo agentūros,
prižiūrinčios privatumą
Atsakymas: C
Paaiškinimas:
pirmiausia reikia informuoti duomenų savininkus, kad jie galėtų imtis veiksmų, kad nustatytų žalos mastą ir suderintų taisomųjų veiksmų planą su kompiuterių incidentų reagavimo komanda. Kitos šalys bus
informuotos vėliau, kaip to reikalauja įmonės politika ir reguliavimo reikalavimai.

Gavus aukščiausios vadovybės įsipareigojimą, kuris iš toliau nurodytų dalykų turėtų būti atliktas KITAS kuriant informacijos saugos programą?
A. Apibrėžkite saugumo metriką

B. Atlikite rizikos vertinimą C. Atlikite
spragų analizę D. Įsigykite saugos

priemones
Atsakymas: B
Paaiškinimas:
Kuriant informacijos saugos programą, rizikos įvertinimas yra labai svarbus norint nustatyti organizacijos poreikius ir parengti saugumo strategiją. Saugumo metrikų apibrėžimas, spragų analizės atlikimas ir
saugos įrankių įsigijimas yra visi tolesni svarstymai.

Kuris iš (sekančių melų būtų pats svarbiausias veiksnys nustatant informacijos klasifikavimo politiką?
A. Informacijos kiekis B. Turima

IT infrastruktūra C. Lyginamoji analizė
D. Duomenų savininkų
reikalavimai
Atsakymas: D
Paaiškinimas:
nustatant informacijos klasifikavimo politiką, reikia nustatyti duomenų savininkų reikalavimus. Informacijos kiekis, IT prieinamumas

Rekomenduoju!!
infrastruktūra ir lyginamoji analizė gali būti sistemos dalis vėliau ir būtų mažiau svarbūs.

iš šių priežasčių yra PAGRINDINĖ rizikos valdymo programos įgyvendinimo priežastis?
A. Leidžia organizacijai pašalinti riziką B. yra būtina

vadovybės deramo patikrinimo dalis C. Atitinka audito ir reguliavimo
reikalavimus D. Padeda padidinti investicijų grąžą (ROD)
Atsakymas: B
Paaiškinimas:
Pagrindinė rizikos valdymo priežastis yra ta, kad tai yra vadovybės deramo patikrinimo dalis. Visos rizikos pašalinti neįmanoma. Audito ir reguliavimo reikalavimų tenkinimas yra antraeilis dalykas. Rizikos
valdymo programa gali padidinti arba nepadidinti investicijų grąžą (ROD.

Svarbiausia rizikos valdymo programos funkcija:
A. kiekybiškai įvertinti
bendrą ris B. sumažinti likutinį
ris C. pašalinti būdingą ris D.
maksimaliai padidinti visų metinių nuostolių tikėtinų prognozių (ALE) sumą.
Atsakymas: B
Paaiškinimas:
Rizikos valdymo programa turėtų sumažinti rizikos, kurios negalima kitaip pašalinti ar perkelti, dydį; tai yra liekamoji rizika organizacijai.
Bendros rizikos kiekybinis įvertinimas yra svarbus, bet ne toks svarbus kaip galutinis rezultatas. Pašalinti būdingą riziką praktiškai neįmanoma. Visų ALE sumos padidinimas iš tikrųjų yra priešingas tam, kas
pageidautina.

Rizikos mažinimo ataskaitoje būtų pateiktos rekomendacijos:
A. assessmentmen
B. priėmimas C.
evaluatio
D. quantificatio
Atsakymas: B
Paaiškinimas:
rizikos priėmimas yra alternatyva, į kurią reikia atsižvelgti rizikos mažinimo procese. Įvertinimas. įvertinimas ir rizikos kiekybinis įvertinimas yra rizikos analizės proceso sudedamosios dalys, kurios užbaigiamos
prieš nustatant rizikos mažinimo sprendimus.

Kuris iš šių dalykų reikalauja atkūrimo taško tikslo (RPO)?
A. Nelaimės deklaracija
B. Vaizdo prieš atkūrimas C.

Sistemos atkūrimas D.
Vaizdo apdorojimas po to
Atsakymas: B
Paaiškinimas:
Atkūrimo taško tikslas (RPO) yra apdorojimo srauto taškas, kuriame turėtų įvykti sistemos atkūrimas. Tai yra iš anksto nustatyta programos apdorojimo būsena ir duomenys, naudojami sistemai atkurti ir
apdorojimo srautui tęsti. Nelaimės deklaracija nepriklauso nuo šio apdorojimo patikros taško. Sistema gali būti atkurta vėliau, kaip ir grįžti prie įprasto vaizdo apdorojimo.

galėtų GERIAUSIAI nustatyti verslo programų atkūrimo taško tikslą (RPO)?
A. Veiklos tęstinumo koordinatorius B.

Operacijų vadovas (COO)
C. Informacijos saugumo vadovas D.
Vidaus auditas
Atsakymas: B
Paaiškinimas:
Atkūrimo taško tikslas (RPO) yra apdorojimo kontrolinis taškas, į kurį atkuriamos sistemos. Be duomenų savininkų, yra vyriausiasis operacijų pareigūnas (COO).

Rekomenduoju!!
labiausiai išmanantis žmogus, kuris priimtų šį sprendimą. Informacijos saugumo vadybininkui ar vidaus auditui būtų netikslinga nustatyti RPO, nes jie nėra tiesiogiai atsakingi už duomenis ar operaciją.

iš šių priemonių būtų veiksmingiausia prieš viešai neatskleistą grėsmę konfidencialia informacijai?
A. Vaidmenimis pagrįsta prieigos kontrolė
B. Audito sekų stebėjimas C.

Privatumo politika D.
Išsami gynyba
Atsakymas: A
Paaiškinimas:
Vaidmenimis pagrįstas prieigos valdymas suteikia prieigą pagal verslo poreikius; todėl sumažinamos nereikalingos prieigos teisės ir užtikrinama atskaitomybė. Audito sekų stebėjimas yra detektyvinė kontrolė,
kuri atliekama „po fakto“. Privatumo politika nėra susijusi su šia rizika. Giluminė gynyba visų pirma orientuota į išorines grėsmes

PAGRINDINĖ priežastis, kodėl turto klasifikavimas yra svarbus sėkmingai informacijos saugos programai, yra ta, kad klasifikacija lemia:
A. rizikos mažinimo pastangų prioritetas ir mastas B. nuostolių

atveju reikalingo draudimo suma C. tinkamas asse apsaugos
lygis D. kaip apsaugos lygis lyginamas su lygiaverte organizacija.
Atsakymas: C
Paaiškinimas:
apsauga turėtų būti proporcinga turto vertei. Klasifikavimas pagrįstas turto verte organizacijai. Draudimo suma, reikalinga praradimo atveju, gali būti taikoma ne kiekvienu atveju. Lygiavertės organizacijos gali
turėti skirtingas savo turto klasifikavimo schemas.

Kurią iš šių saugumo veiklų reikėtų įgyvendinti pokyčių valdymo procese, siekiant nustatyti pagrindinius pakeitimų sukeltus pažeidžiamumus?
A. Poveikio verslui analizė (BIA)

B. Skverbties testavimas C.
Auditas ir peržiūra
D. Grėsmių analizė
Atsakymas: B
Paaiškinimas:
Atliekant skverbties testavimą pagrindinis dėmesys skiriamas pažeidžiamumui nustatyti. Nė vienas kitas pasirinkimas neatpažintų pažeidžiamumų, atsiradusių dėl pakeitimų.

Duomenų savininkai PAGRINDINIAI atsakingi už rizikos mažinimo metodų nustatymą, kad būtų galima spręsti kuriai iš šių sričių?
A. Platformos sauga B.
Teisių suteikimo pakeitimai C.
Įsibrovimų aptikimas D.
Antivirusinės kontrolės priemonės
Atsakymas: B
Paaiškinimas:
duomenų savininkai yra atsakingi už vartotojo teisių priskyrimą ir prieigos prie sistemų, už kurias jie yra atsakingi, patvirtinimą. Platformos saugumas, įsibrovimų aptikimas ir antivirusinė kontrolė yra
informacijos saugos vadybininko atsakomybė.

SVARBIAUSIA priežastis atlikti periodinius rizikos vertinimus yra ta, kad:
A. rizikos vertinimai ne visada yra tikslūs B. saugumo

rizika dažnai keičiama C. recenzentai gali optimizuoti ir
sumažinti kontrolės išlaidas D. tai rodo vyresniajai vadovybei, kad saugos
funkcija gali pridėti vertės
Atsakymas: B
Paaiškinimas:
rizika nuolat kinta. Anksčiau atliktas rizikos vertinimas negali apimti išmatuotos rizikos, atsiradusios po paskutinio vertinimo.
Nors vertinimas niekada negali būti tobulas ir jame visada yra klaidų, tai nėra svarbiausia periodinio pakartotinio vertinimo priežastis. Nepakanka to, kad kontrolė gali būti veiksmingesnė siekiant sumažinti
išlaidas. Galiausiai, rizikos vertinimai neturėtų būti atliekami tik siekiant pagrįsti

Rekomenduoju!!
saugumo funkcija.

Siekdamas užtikrinti, kad darbo užmokesčio apskaitos sistemos ir toliau veiktų uraganui užklupus duomenų centrui, koks būtų FIRS T esminis žingsnis, kurio imtųsi informacijos saugos vadovas užtikrindamas
veiklos tęstinumo planavimą?
A. Kokybinės ir kiekybinės rizikos analizės atlikimas B. Turto vertės

priskyrimas C. Plano įgyvendinimo
sąnaudų svėrimas v D. finansiniai nuostoliai E. Poveikio verslui
analizės (BIA)
atlikimas.
Atsakymas: D
Paaiškinimas: BIA
yra esminė organizacijos veiklos tęstinumo plano dalis; jame yra tiriamasis komponentas, skirtas atskleisti visus pažeidžiamumus, ir planavimo komponentas, skirtas rizikos mažinimo strategijoms kurti. Tai
pirmas esminis žingsnis planuojant veiklos tęstinumą. Bus atlikta kokybinė ir kiekybinė rizikos analizė, siekiant apibrėžti galimų gamtos ir žmogaus sukeltų nepageidaujamų reiškinių keliamus pavojus
asmenims, įmonėms ir vyriausybinėms įstaigoms.
Vertės priskyrimas turtui yra BIA proceso dalis. Plano įgyvendinimo sąnaudų ir finansinių nuostolių įvertinimas yra kita BIA dalis.

Atlikus rizikos įvertinimą, nustatoma, kad rizikos mažinimo sąnaudos yra daug didesnės nei gaunama nauda. Informacijos saugumo vadovas turėtų rekomenduoti verslo vadovybei, kad rizika būtų:
A. perkelti
B. gydyti
C. priimti D.
nutraukti
Atsakymas: C
Paaiškinimas: Kai
kontrolės kaina yra didesnė už rizikos kainą, rizika turėtų būti priimta. Rizikos perkėlimas, gydymas ar nutraukimas yra ribotos naudos, jei tos kontrolės kaina yra didesnė už pačios rizikos kainą.

Svarbu klasifikuoti ir nustatyti santykinį turto jautrumą siekiant užtikrinti, kad:
A. apsaugos išlaidos yra proporcingos jautrumui B. labai

jautrus turtas yra apsaugotas C. kontrolės kaina
yra minimali D. atsakomosios
priemonės yra proporcingos rizikai
Atsakymas: D
Paaiškinimas:
norint nustatyti turto jautrumą verslo veiklai kylančios rizikos požiūriu, reikia atlikti turto klasifikavimą, kad būtų galima veiksmingai įgyvendinti proporcingas atsakomąsias priemones. Nors jautriam turtui
apsaugoti leidžiamos didesnės išlaidos ir visada tikslinga sumažinti kontrolės išlaidas, svarbiausia, kad kontrolė ir atsakomosios priemonės būtų proporcingos rizikai, nes tai pateisins išlaidas. Pasirinkimas B yra
svarbus, tačiau jis yra neišsamus atsakymas, nes jis neatsižvelgia į riziką. Todėl D pasirinkimas yra svarbiausias.

Paslaugų lygio sutartis (SLA) dėl perduotos IT funkcijos neatspindi tinkamo apsaugos lygio. Tokiu atveju
informacijos saugos vadovas turėtų:
A. užtikrinti, kad paslaugų teikėjas būtų atsakingas už

nuostolius B. nerekomenduojama nepratęsti sutarties pasibaigus
galiojimo laikui C. rekomenduoti nedelsiant nutraukti sutartį D. nustatyti
esamą užstato lygį
Atsakymas: D
Paaiškinimas:
svarbu užtikrinti, kad atitinkami apsaugos lygiai būtų įrašyti į paslaugų lygio susitarimus (SLA) ir kitas užsakomųjų paslaugų sutartis. Informacija turi būti gauta iš teikėjų, kad būtų galima nustatyti, kaip tas
užsakomųjų paslaugų teikėjas užtikrina informacijos turtą, prieš pateikdamas bet kokią rekomendaciją ar imdamasis veiksmų, kad padėtų priimti valdymo sprendimus. A pasirinkimas daugeliu atvejų yra
nepriimtinas ir todėl nėra geras atsakymas.

Kuris iš šių metodų Aiškiausiai parodo, ar reikia įgyvendinti specifines rizikos mažinimo kontrolę?
A. Atsakomų priemonių sąnaudų ir naudos analizė B.

Skverbties testavimas C.
Dažnos rizikos vertinimo programos

Rekomenduoju!!
D. Tikėtino metinio nuostolio (ALE) skaičiavimas
Atsakymas: A
Paaiškinimas:
Atliekant atsakomųjų priemonių sąnaudų ir naudos analizę, metinės apsaugos priemonių išlaidos lyginamos su numatomomis nuostolių išlaidomis. Tada tai gali būti panaudota konkrečiai kontrolės priemonei
pagrįsti. Prasiskverbimo testas gali parodyti silpnumo mastą, tačiau pats savaime nenustatys kontrolės sąnaudų ir naudos. Dažnos rizikos vertinimo programos tikrai nustatys, kokia rizika egzistuoja, bet
nenustatys didžiausių kontrolės išlaidų. Tikėtina metinė nuostolių trukmė (ALE) yra priemonė, kuri prisidės prie rizikos vertės, tačiau. vien tik nepateisins kontrolės.

Internetinės bankininkystės įstaiga nerimauja, kad kliento asmeninės informacijos pažeidimas turės didelį finansinį poveikį dėl būtinybės pranešti klientams, kurių asmeninė informacija galėjo būti pažeista, ir
atlyginti jiems žalą. Įstaiga nustato, kad liekamoji rizika visada bus per didelė, ir nusprendžia:
A. sumažinti poveikį perkant draudimą B. įdiegti grandinės

lygio ugniasienę, kad apsaugotų tinklą C. padidinti saugumo priemonių
atsparumą vietoje D. įdiegti įsilaužimo aptikimo realiuoju laiku sistemą
Atsakymas: A
Paaiškinimas:
kadangi likutinė rizika visada bus per didelė, vienintelis praktinis sprendimas yra sušvelninti finansinį poveikį perkant draudimą.

Remiantis pateikta informacija, kuri iš šių situacijų kelia DIDŽIAUSIĄ informacijos saugumo riziką organizacijai, turinčiai kelias, bet mažas, vidaus apdorojimo vietas?
A. Sistemų eksploatavimo procedūros nevykdomos B. Pokyčių

valdymo procedūros prastos C. Sistemų kūrimas perduotas
iš išorės D. Sistemų pajėgumų valdymas
neatliekamas
Atsakymas: B
Paaiškinimas:
pokyčių valdymo trūkumas yra rimtas trūkumas ir labai padidins informacijos saugumo riziką. Kadangi procedūros paprastai yra neautoritetinės, jų vykdymo trūkumas nėra pagrindinis rūpestis. Sistemos, kurias
kuria trečiųjų šalių pardavėjai, tampa įprastomis ir nesukelia saugumo rizikos padidėjimo tiek, kiek prastas pokyčių valdymas. Prastas pajėgumų valdymas nebūtinai gali kelti pavojų saugumui.

Informacijos išteklių kritiškumas ir jautrumas nustatomas remiantis:
A. grėsmės įvertinimas B.
pažeidžiamumo vertinimas C.
išteklių priklausomybės įvertinimas D. poveikio
vertinimas
Atsakymas: D
Paaiškinimas:
Informacinio turto kritiškumas ir jautrumas priklauso nuo grėsmių, išnaudojančių turto pažeidžiamumą, tikimybės poveikio ir atsižvelgiama į turto vertę bei vertės sumažėjimą. Grėsmių vertinime
pateikiamos tik grėsmės, su kuriomis susiduria informacijos turtas. Jame neatsižvelgiama į turto vertę ir grėsmės įtaką vertei. Pažeidžiamumo vertinime išvardijamos tik informacijos turtui būdingos pažeidžiamumo
vietos, galinčios pritraukti grėsmes. Jame neatsižvelgiama į turto vertę ir suvoktų grėsmių poveikį vertei. Išteklių priklausomybės vertinimas pateikia proceso poreikius, bet ne poveikį.

Tinkamiausias klientų duomenų, saugomų centrinėje duomenų bazėje, naudojamų tik organizacijos pardavimo skyriaus, savininkas būtų:
A. pardavimų skyriaus
darbuotojai B. duomenų bazės
administravimas C. vyriausiasis informacijos pareigūnas (CIO).

D. pardavimo skyriaus vadovas
Atsakymas: D
Paaiškinimas:
informacijos ištekliaus savininkas turėtų būti asmuo, turintis sprendimų priėmimo teisę skyriuje, kuris gauna daugiausia naudos iš šio turto. Šiuo atveju tai būtų pardavimo skyriaus vadovas. Organizacinis vienetas
negali būti turto savininkas, nes tai pašalina asmeninę atsakomybę. Duomenų bazės administratorius yra saugotojas. Vyriausiasis informacijos pareigūnas (CIO) nebūtų šios duomenų bazės savininkas, nes CTO
greičiausiai neturės žinių apie konkrečius pardavimo operacijų poreikius ir saugumo problemas.

Rekomenduoju!!

Saugumo rizikos įvertinimas turėtų būti kartojamas reguliariais intervalais, nes:
A. verslo grėsmės nuolat kinta B. galima išspręsti

ankstesnių vertinimų praleidimus C. pasikartojantys vertinimai leidžia
taikyti įvairias metodikas D. jie padeda didinti supratimą apie saugumą

versle
Atsakymas: A
Paaiškinimas:
keičiantis verslo tikslams ir metodams, keičiasi ir grėsmių pobūdis bei aktualumas. Pasirinkimas B savaime nepateisina reguliaraus pakartotinio vertinimo. Pasirinkimas C nebūtinai yra teisingas visais atvejais. D
pasirinkimas yra neteisingas, nes yra geresnių būdų, kaip padidinti supratimą apie saugumą, nei atliekant rizikos vertinimą.

Sprendimas, ar rizika buvo sumažinta iki priimtino lygio, turėtų būti priimtas:
A. organizacinis reikalavimas B.
informacinių sistemų reikalavimas C.
informacijos saugumo reikalavimas D.
tarptautinis standartas
Atsakymas: A
Paaiškinimas:
Organizaciniai reikalavimai turėtų nustatyti, kada rizika buvo sumažinta iki priimtino lygio. Informacinės sistemos ir informacijos saugumas neturėtų būti galutinis sprendimas. Kadangi kiekviena organizacija
yra unikali, tarptautiniai geriausios praktikos standartai nėra geriausias sprendimas.
NAUJAS KLAUSIMAS 384 Yra

laiko tarpas tarp saugos pažeidžiamumo pirmą kartą paskelbimo ir pataisos pristatymo laiko. Kuris iš šių veiksmų turėtų būti atliktas PIRMIAUSIA, kad per šį laikotarpį būtų sumažinta rizika?
A. Identifikuokite pažeidžiamas sistemas ir pritaikykite kompensuojančius valdiklius B.

Sumažinkite pažeidžiamų sistemų naudojimą C.
Praneškite apie pažeidžiamumą sistemos naudotojams D.
Atnaujinkite įsibrovimo aptikimo sistemos (IDS) parašų duomenų bazę.
Atsakymas: A
Paaiškinimas:
Geriausia apsauga yra nustatyti pažeidžiamas sistemas ir taikyti kompensuojančius valdiklius, kol bus įdiegta pataisa. Pažeidžiamų sistemų naudojimo sumažinimas ir pažeidžiamumo perdavimas sistemos
naudotojams galėtų kompensuoti valdymą, bet tai nebūtų pirmas veiksmas. Pasirinkus D nepaaiškinamas laikas, kada įsibrovimo aptikimo sistemos (IDS) parašų sąrašas bus atnaujintas, kad būtų galima
pritaikyti pažeidžiamumus, kurie dar nėra viešai žinomi. Todėl šis metodas ne visada turėtų būti laikomas pirmuoju pasirinkimu.

Kuris iš šių reikalavimų yra pats svarbiausias, norint sukurti naujos sistemos informacijos saugumo infrastruktūrą?
A. Poveikio verslui analizės (BIA) atlikimas

B. Asmeninių informacinių įrenginių laikymas saugumo politikos dalimi C. IT saugumo mokymų
ir supažindinimo inicijavimas D. Informacijos saugos
infrastruktūros pagrindas rizikos vertinimu
Atsakymas: D
Paaiškinimas:
Informacijos saugumo infrastruktūra turėtų būti pagrįsta rizika. Nors asmeninių informacijos įrenginių laikymas saugumo politikos dalimi gali būti svarstomas, tai nėra pats svarbiausias
reikalavimas. BIA paprastai atliekama siekiant nustatyti verslo procesų prioritetus kaip verslo tęstinumo plano dalį. Informacijos saugumo infrastruktūros tikslais IT saugumo mokymų inicijavimas gali būti
nesvarbus.

Rizikos vertinimas turėtų būti atliktas:
A. kartą per metus kiekvienam verslo procesui ir subprocesui B. kas 3–6

mėnesius svarbiam verslo procesui C. išorinės šalys, siekdamos išlaikyti
objektyvumą D. kasmet arba kai yra reikšmingų pokyčių
Atsakymas: D
Paaiškinimas:
rizika nuolat kinta. D pasirinkimas yra geriausia alternatyva, nes jame atsižvelgiama į pagrįstą laikotarpį ir suteikiamas lankstumas

Rekomenduoju!!
reikšmingas pokytis. Vieną kartą per metus atlikti rizikos vertinimą nepakanka, jei įvyksta svarbūs pokyčiai. Kas tris–šešis mėnesius atlikti svarbių procesų rizikos įvertinimo gali nebūti arba gali būti, kad į
svarbius pokyčius laiku neatsižvelgta. Nebūtina, kad vertinimus atliktų išorinės šalys.

Kuris iš šių dalykų padėtų vadovybei nustatyti išteklius, kurių reikia norint sumažinti organizacijos riziką?
A. Rizikos analizės procesas B.

Verslo poveikio analizė (BIA)
C. Rizikos valdymo subalansuotų rezultatų suvestinė
D. Rizika pagrįsta audito programa
Atsakymas: B
Paaiškinimas:
Poveikio verslui analizė (BIA) nustato galimą rizikos rezultatą ir yra būtina norint nustatyti atitinkamas kontrolės išlaidas. Rizikos analizės procesas pateikia išsamius duomenis, tačiau nenustato konkrečių
išteklių rizikai sumažinti, kaip tai daro BIA. Rizikos valdymo subalansuotų rezultatų kortelė yra tikslo pasiekimo matavimo priemonė. Rizika pagrįsta audito programa naudojama siekiant sutelkti audito procesą į
organizacijai svarbiausias sritis.

Įgyvendindamas saugos kontrolę, informacijos saugos vadybininkas, visų pirma, turi sutelkti dėmesį į:
A. veiklos poveikio sumažinimas B. visų

pažeidžiamumų pašalinimas C.
panašios organizacijos naudojimas D.
sertifikavimas iš trečiosios dalies
Atsakymas: A
Paaiškinimas:
saugos valdikliai turi būti suderinami su verslo poreikiais. Neįmanoma pašalinti visų pažeidžiamumų. Panašių organizacijų naudojimas negarantuoja, kad kontrolė yra tinkama. Trečiosios šalies sertifikavimas yra
svarbus, bet ne pagrindinis rūpestis.

Kuris iš šių GERIAUSIŲ dalykų rodo sėkmingą rizikos valdymo praktiką?
A. Bendra rizika yra kiekybiškai

įvertinama B. Įgimta rizika pašalinama
C. Likutinė rizika sumažinama iki
minimumo D. Kontrolės rizika yra susieta su verslo padaliniais
Atsakymas: C
Paaiškinimas:
sėkminga rizikos valdymo praktika sumažina liekamąją organizacijos riziką. Pasirinkimas A yra neteisingas, nes tai, kad bendra rizika buvo kiekybiškai įvertinta, nebūtinai rodo sėkmingą rizikos valdymo praktiką.
Pasirinkimas B yra neteisingas, nes praktiškai neįmanoma pašalinti būdingos rizikos.
D pasirinkimas yra neteisingas, nes nors kontrolės rizikos susiejimas su verslu gali pagerinti atskaitomybę, tai nėra taip pageidautina, kaip sumažinti likutinę riziką.

Informacijos saugumo vadovai turėtų naudoti rizikos vertinimo metodus, kad:
A. pagrįsti rizikos mažinimo strategijos pasirinkimą B.

padidinti investicijų grąžą (RO C. pateikti dokumentus
auditoriams ir reguliavimo institucijai D. kiekybiškai įvertinti riziką,
kuri kitu atveju būtų subjektyvi
Atsakymas: A
Paaiškinimas:
Informacijos saugumo vadovai turėtų naudoti rizikos vertinimo metodus, kad pagrįstų ir kuo veiksmingiau įgyvendintų rizikos mažinimo strategiją. Nė vienas kitas pasirinkimas neatlieka šios užduoties, nors
jie yra svarbūs komponentai.

Atliekant poveikio verslui analizę, informacinės sistemos vertė turėtų būti pagrįsta bendromis sąnaudomis:
A. atsigauti
B. atkurti C. jei
nepasiekiamas D.
avarinės operacijos
Atsakymas: C

Rekomenduoju!!
Paaiškinimas:
Informacinės sistemos vertė turėtų būti pagrįsta išlaidomis, patirtomis, jei sistema taptų nepasiekiama. Sistemos projektavimo ar atkūrimo išlaidos nėra tokios svarbios, nes verslo poveikio analizė įvertina
poveikį, kuris atsirastų, jei informacinė sistema taptų nepasiekiama. Be to, avarinių operacijų kaina nėra tokia svarbi.

PAGRINDINIS įmonės rizikos valdymo programos tikslas yra užtikrinti, kad organizacija:
A. IT turtas pagrindinėms verslo funkcijoms yra apsaugotas B.

verslo rizika pašalinama taikant prevencinę kontrolę C. užsibrėžti
tikslai yra pasiekiami D. IT priemonės ir
sistemos visada prieinamos
Atsakymas: C
Paaiškinimas:
Pagrindinis rizikos valdymo tikslas yra užtikrinti, kad organizacija išlaikytų gebėjimą pasiekti savo tikslus. IT turto apsauga yra vienas iš galimų tikslų, taip pat infrastruktūros ir sistemų prieinamumo
užtikrinimas. Tačiau tai turėtų būti vertinama atsižvelgiant į organizacijos tikslų pasiekimą. Prevencinė kontrolė ne visada įmanoma arba būtina; rizikos valdymas spręs problemas taikant tinkamą prevencinių ir
korekcinių kontrolės priemonių derinį.

Atliekant kokybinę rizikos analizę, kuris iš toliau nurodytų dalykų duos patikimus rezultatus?
A. Numatomas našumo sumažėjimas B.

Galimi scenarijai su grėsmėmis ir poveikiu C. Informacinių
išteklių vertė
D. Pažeidžiamumo vertinimas
Atsakymas: B
Paaiškinimas:
visų galimų scenarijų, kurie gali įvykti, sąrašas kartu su grėsmėmis ir poveikiu padės geriau apibrėžti rizikos spektrą ir sudaryti palankesnes informacijas pagrįstą diskusiją ir priimti sprendimą. Vien
apskaičiuotų našumo nuostolių, informacinio turto vertės ir pažeidžiamumo įvertinimų nepakaktų.

......

Rekomenduoju!!
Dėkojame, kad išbandėte mūsų gaminį
Siūlome du produktus:
1. – turime praktinių testų programinę įrangą su aktualiais egzamino klausimais
2 - Klausimai ir atsakymai PDF formatu
CISM praktikos egzamino ypatybės:
* CISM klausimai ir atsakymai dažnai atnaujinami
* CISM praktikos klausimus patikrino ekspertas, vyresnysis sertifikuotas personalas
* Realiausi CISM klausimai, garantuojantys, kad pirmą kartą bandysite
* CISM praktikos testo klausimai kelių pasirinkimų formatais ir atnaujinimai 1 metams
100% faktinis ir patvirtintas – momentinis atsisiuntimas, spustelėkite

Užsisakykite CISM praktikos testą čia

Parengta naudojant TCPDF (www.tcpdf.org)

Isaca - Certforall.cism - Vce.dumps.2023 Jan 06.by - Herbert.151q.vce en - LT

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Isaca - Certforall.cism - Vce.dumps.2023 Jan 06.by - Herbert.151q.vce en - LT

Uploaded by

Copyright:

Available Formats

Machine Translated by Google Gaukite visas CISM ištraukas VCE ir PDF iš SurePassExam https://

Sertifikuotas informacijos saugos vadovas

Lengva išlaikyti sertifikavimo egzaminus apsilankykite - https://www.surepassexam.com

A. informacijos saugumo politikos rengimas B.

A. Teisinė aplinka B. Tarptautiniai

A. Valdymo komitetai tvirtina saugumo projektus B. Visiems

A. verslo priklausomybės vertinimas B. strateginiai

Lengva išlaikyti sertifikavimo egzaminus apsilankykite - https://www.surepassexam.com

A. saugumo supratimo mokymas B.

A. perduokite problemas išorinei trečiajai šaliai, kad jos būtų išspręstos

A. Regiono verslo lyderių atstovavimas B. Valdybos sudėtis C.

A. Nuolatinė analizė, stebėjimas ir grįžtamasis ryšys B. Nuolatinis

Lengva išlaikyti sertifikavimo egzaminus apsilankykite - https://www.surepassexam.com

A. Vykdykite esamą saugumo standartą B. Pakeiskite

A. Kandidatų į informacijos saugos specialistų pareigas pokalbiai B. Saugumo suvokimo

A. užtikrinti, kad informacijos saugumas apimtų visas verslo funkcijas B.

Lengva išlaikyti sertifikavimo egzaminus apsilankykite - https://www.surepassexam.com

veiksniai, tačiau jie būtinai atitinka verslo strategiją.

A. susitikti su suinteresuotosiomis šalimis, kad nuspręstų, kaip

A. vidaus audito vadovas B.

vyriausiasis operacijų pareigūnas (COO).

A. Derinimas su geriausia pramonės praktika B.

A. Galimi finansiniai nuostoliai B.

A. Lengviau propaguoti saugumo supratimą B. Lengviau

Lengva išlaikyti sertifikavimo egzaminus apsilankykite - https://www.surepassexam.com

A. Rizikos vertinimo ataskaita B.

A. aiškus derinimas su organizacijos tikslais ir uždaviniais B. sėkmės atvejai, patirti

A. Sukurti procedūras, skirtas informacijos saugumo politikai įgyvendinti B. Gauti

A. Duomenų bazių serverių tvirtinimo procedūros B.

Lengva išlaikyti sertifikavimo egzaminus apsilankykite - https://www.surepassexam.com

C. Informacijos saugumo valdymo politika D. Dokumentų saugojimo ir

A. Vadovybės įsipareigojimas B. Informacijos

A. Civilinės arba teisinės atsakomybės galimybės mažinimas B.

A. Informacijos saugumo personalo reikalavimai B.

A. gebėjimas sumažinti verslo riziką B.

Lengva išlaikyti sertifikavimo egzaminus apsilankykite - https://www.surepassexam.com

A. nustatyti saugumo metriką ir veiklos stebėseną B. šviesti verslo

A. analizuojama pagal saugojimo politiką B.

A. Brangesnis administravimas B. Geresnis

Lengva išlaikyti sertifikavimo egzaminus apsilankykite - https://www.surepassexam.com

A. visuotinai priimta geriausia pramonės praktika B.

A. Rizikos vertinimo politika B.

A. būti suderintas su įmonės verslo strategija B. būti pagrįstas

A. priimti saugumo standartą B.

Lengva išlaikyti sertifikavimo egzaminus apsilankykite - https://www.surepassexam.com

A. periodinių rizikos vertinimų nustatymas B.

NAUJAS 104 KLAUSIMAS

A. Atnaujinkite platformos lygio saugos nustatymus

NAUJAS KLAUSIMAS 105 Kas

B. Vyriausiasis informacijos saugumo pareigūnas (CISO)

Vyriausiasis informacijos pareigūnas (CIO)

NAUJAS KLAUSIMAS 109

A. sukurti saugumo architektūrą B. įdiegti

Lengva išlaikyti sertifikavimo egzaminus apsilankykite - https://www.surepassexam.com

NAUJAS KLAUSIMAS 112

A. pranešimas apie atsakomybę už informacijos tikslumą B.

NAUJAS KLAUSIMAS 115

A. veiklos matavimo priemonės B.

NAUJAS KLAUSIMAS 119

A. Sukurti teigiamą verslo saugumo aplinką B. Suprasti pagrindinius

NAUJAS KLAUSIMAS 121

A. verslo strategija ir kryptis B. reguliavimo

NAUJAS KLAUSIMAS 124