基本情報技術者試験 平成30年度 秋期 午前 問58「JIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項…」の正解と解説です。基本情報技術者試験の「セキュリティ管理」分野の過去問で、これまでの受験者の正答率は約68%です。
エ. リスクアセスメントを実施した後に,リスク受容基準を決めた。
正答率 67.6%(1,513人中 1,023人が正解)
ISMS では、リスクアセスメントを行う前にリスク受容基準を定めるのが原則です。アセスメント後に受容基準を決めると、判断の物差しが変わってしまうため監査指摘事項となります。エが正解。