HOME»ITパスポート平成30年秋期»問99
ITパスポート平成30年秋期 問99
問99
ISMSにおける情報セキュリティリスクアセスメントでは,リスクの特定,分析及び評価を行う。リスクの評価で行うものだけを全て挙げたものはどれか。
- あらかじめ定めた基準によって,分析したリスクの優先順位付けを行う。
- 保護すべき情報資産の取扱いにおいて存在するリスクを洗い出す。
- リスクが顕在化したときに,対応を実施するかどうかを判断するための基準を定める。
- a
- a,b
- b
- c
分類
テクノロジ系 » セキュリティ » 情報セキュリティ管理
正解
ア
解説
JIS Q 27001:2014によれば、リスク特定、リスク分析、リスク評価ではそれぞれ次のような作業を実施します。
- リスク特定
- リスクを発見し、認識する
リスク所有者を特定する - リスク分析
- リスクの特質を理解し、リスクレベルを決定する
リスクが実際に生じた場合の損害の大きさ及び起こりやすさを算定する - リスク評価
- リスク分析の結果と確立したリスク基準とを比較する
リスク対応のために、分析したリスクの優先順位付けを行う
- 正しい。リスク評価で行います。
- 誤り。リスク特定で行います。
- 誤り。リスク分析で行います。