午前問99
ISMSにおける情報セキュリティリスクアセスメントでは、リスクの特定、分析及び評価を行う。リスクの評価で行うものだけを全て挙げたものはどれか。
a. あらかじめ定めた基準によって、分析したリスクの優先順位付けを行う。
b. 保護すべき情報資産の取扱いにおいて存在するリスクを洗い出す。
c. リスクが顕在化したときに、対応を実施するかどうかを判断するための基準を定める。
a. あらかじめ定めた基準によって、分析したリスクの優先順位付けを行う。
b. 保護すべき情報資産の取扱いにおいて存在するリスクを洗い出す。
c. リスクが顕在化したときに、対応を実施するかどうかを判断するための基準を定める。
| a | |
| a、b | |
| b | |
| c |
『情報処理過去問.com』からiPhoneアプリがリリースされました!!
正解
- ア
解説
ISMSの情報セキュリティリスクアセスメントは、リスク特定→リスク分析→リスク評価の順に実施します。JIS Q 27001:2014に従うと、リスク特定ではリスクを把握しリスク所有者を明らかにします。リスク分析では、リスクの性質を理解し、発生可能性と影響を見積もってリスクレベルを決めます。リスク評価では、分析結果をあらかじめ定めたリスク基準と照合し、リスク対応に向けて優先順位付けを行います。よって、評価で実施するのは「a」のみです。
| ア. | a |
| 「a」は、分析結果を基に優先順位付けを行う内容で、リスク評価で実施します。正しいです。 | |
| イ. | a、b |
| 「a,b」の組合せですが、「b」はリスク特定(取扱いに内在するリスクの洗い出し)に該当します。評価で行うものだけではないので誤りです。 | |
| ウ. | b |
| 「b」はリスク特定の作業で、リスク評価ではありません。誤りです。 | |
| エ. | c |
| 「c」は、リスクが顕在化した際に対応の要否を判断するための基準の設定で、リスク分析に含まれます。評価ではないため誤りです。 |