情報セキュリティ管理 (全115問中21問目)
No.21
次の作業a~dのうち,リスクマネジメントにおける,リスクアセスメントに含まれるものだけを全て挙げたものはどれか。
- 脅威や脆弱性などを使ってリスクレベルを決定する。
- リスクとなる要因を特定する。
- リスクに対してどのように対応するかを決定する。
- リスクについて対応する優先順位を決定する。
出典:令和3年春期 問91
- a,b
- a,b,d
- a,c,d
- c,d
分類
テクノロジ系 » セキュリティ » 情報セキュリティ管理
正解
イ
解説
ISMSのリスクアセスメントは、リスクの大きさを評価し、そのリスクが許容できるか否かを決定する全体的なプロセスです。JIS Q 27000で「リスク特定,リスク分析及びリスク評価のプロセス全体」と定義されているように、「リスク特定」「リスク分析」「リスク評価」までの一連の活動を含みます。
- リスク特定
- リスクを発見し、認識する
リスク所有者を特定する - リスク分析
- リスクの特質を理解し、リスクレベルを決定する
リスクが実際に生じた場合の損害の大きさ及び起こりやすさを算定する - リスク評価
- リスク分析の結果と事前に定めておいたリスク基準とを比較する
リスク対応のために、分析したリスクの優先順位付けを行う
- 含まれる。リスク分析で行う作業です。
- 含まれる。リスク特定で行う作業です。
- 含まれない。リスク対応で行う作業です。
- 含まれる。リスク評価で行う作業です。