平成29年秋期試験問題 問57

ISMSにおける情報セキュリティリスクの取扱いに関する"リスク及び機会に対処する活動"には,リスク対応,リスク評価,リスク分析が含まれる。この活動の流れとして,適切なものはどれか。

  • リスク対応→リスク評価→リスク分析
  • リスク評価→リスク分析→リスク対応
  • リスク分析→リスク対応→リスク評価
  • リスク分析→リスク評価→リスク対応
正解 問題へ
分野:テクノロジ系
中分類:セキュリティ
小分類:情報セキュリティ管理
解説
ISMSで定義されている"リスク及び機会に対処する活動"は以下のような枠組みおよび手順になっています。
1.リスク基準を確立する
リスク受容基準とリスクアセスメントの実施基準を定める
2.リスクを特定する
リスクの存在とリスクの所有者を特定する
3.リスクを分析する
リスクが実際に起こった場合の結果、またその起こりやすさを分析する
リスクレベルを決定する
4.リスクを評価する
リスク分析の結果とリスク基準を比較する
リスク対応のために分析したリスクに優先順位を付ける
5.リスク対応
リスク対応の選択肢を選定し、リスク対応計画を策定する
リスク対応計画と残留リスクおよび受容リスクについてリスク所有者の承認を得る
57.png
したがって「エ」の順序が適切です。

Pagetop