情報セキュリティ管理 (全115問中52問目)
No.52
ISMSにおける情報セキュリティリスクの取扱いに関する"リスク及び機会に対処する活動"には,リスク対応,リスク評価,リスク分析が含まれる。この活動の流れとして,適切なものはどれか。
出典:平成29年秋期 問57
- リスク対応→リスク評価→リスク分析
- リスク評価→リスク分析→リスク対応
- リスク分析→リスク対応→リスク評価
- リスク分析→リスク評価→リスク対応
分類
テクノロジ系 » セキュリティ » 情報セキュリティ管理
正解
エ
解説
ISMSで定義されている"リスク及び機会に対処する活動"は以下のような枠組みおよび手順になっています。
したがって「エ」の順序が適切です。
- 1.リスク基準を確立する
- リスク受容基準とリスクアセスメントの実施基準を定める
- 2.リスクを特定する
- リスクの存在とリスクの所有者を特定する
- 3.リスクを分析する
- リスクが実際に起こった場合の結果、またその起こりやすさを分析する
リスクレベルを決定する - 4.リスクを評価する
- リスク分析の結果とリスク基準を比較する
リスク対応のために分析したリスクに優先順位を付ける - 5.リスク対応
- リスク対応の選択肢を選定し、リスク対応計画を策定する
リスク対応計画と残留リスクおよび受容リスクについてリスク所有者の承認を得る