問題本文
ISMSにおける情報セキュリティリスクの取扱いに関する"リスク及び機会に対処する活動"には,リスク対応,リスク評価,リスク分析が含まれる。この活動の流れとして,適切なものはどれか。
選択肢
- ア.リスク対応 → リスク評価 → リスク分析
- イ.リスク評価 → リスク分析 → リスク対応
- ウ.リスク分析 → リスク対応 → リスク評価
- エ.リスク分析 → リスク評価 → リスク対応
正解
エ. リスク分析 → リスク評価 → リスク対応
解説
ISMS(Information Security Management System)のリスクアセスメントと対応の流れを正確に理解する。ISMSではリスクアセスメントとして,(1)リスク特定→(2)リスク分析(発生可能性・影響度の評価)→(3)リスク評価(対応要否・優先順位の判断)→(4)リスク対応(回避・軽減・転嫁・受容の選択)という順序で実施する。正解はエ(分析→評価→対応)。
選択肢ごとの解説
- ア.リスク対応を最初に行うことはできない。どのリスクがどの程度の大きさかを分析・評価してから,何をすべきかを判断して対応する。対応→評価→分析の順序は論理的に成立しない。
- イ.リスク評価はリスク分析の結果を基に許容可能か否か,どの優先度で対応するかを判断する段階である。分析より先に評価しても,評価の基準となる発生可能性や影響度の情報がないため,評価が成立しない。
- ウ.分析の後に対応を行い,最後に評価する順序では,評価(対応要否の判断)をせずに対応を決定することになり,対応の優先度付けが適切に行われない。評価でリスクの受容可否を判断してから対応を選ぶのが正しい流れ。
- エ.リスク分析でリスクの発生可能性と潜在的影響を定量・定性的に把握し,リスク評価でリスク基準と比較して対応要否を判断し,リスク対応でリスクを修整するための選択肢を選ぶ流れ。ISO/IEC 27001の規定に沿った正しい順序。正解。
ITパスポート 2017年 (平成29年 秋期) の過去問一覧へ戻る・問57