科目A問91
次の作業a~dのうち,リスクマネジメントにおける,リスクアセスメントに含まれるものだけを全て挙げたものはどれか。
a:脅威や脆弱性などを使ってリスクレベルを決定する。
b:リスクとなる要因を特定する。
c:リスクに対してどのように対応するかを決定する。
d:リスクについて対応する優先順位を決定する。
a:脅威や脆弱性などを使ってリスクレベルを決定する。
b:リスクとなる要因を特定する。
c:リスクに対してどのように対応するかを決定する。
d:リスクについて対応する優先順位を決定する。
| a,b | |
| a,b,d | |
| a,c,d | |
| c,d |
『情報処理過去問.com』からiPhoneアプリがリリースされました!!
正解
- イ
解説
ISMSにおけるリスクアセスメントは、リスクの大きさと受容可否を判断するための包括的な手順で、JIS Q 27000ではリスク特定・リスク分析・リスク評価を一体のプロセスと位置付けます。設問aはリスク分析で行うリスクレベルの決定、bはリスク特定で行うリスク要因の洗い出し、dはリスク評価で行う対応の優先度付けに該当し、いずれもリスクアセスメントに含まれます。cはリスク対応の決定であり、アセスメント外です。したがって、該当するのはa,b,dです。
| ア. | a,b |
| a,bのみでリスク評価に当たるdが欠けるので不適切です。 | |
| イ. | a,b,d |
| a(リスク分析),b(リスク特定),d(リスク評価)の組合せで、リスクアセスメントに含まれる内容がそろっているため正解です。 | |
| ウ. | a,c,d |
| cはリスク対応の決定であり、リスクアセスメントには含まれないため不適切です。 | |
| エ. | c,d |
| cを含み、かつaやbを含まないため、リスクアセスメントの範囲を満たしておらず不適切です。 |