ITパスポート試験 ITパスポート 2017年 (平成29年 秋期)57: ISMSにおける情報セキュリティリスクの取扱いに関する"リスク及び機会に対処する活動"には,リスク対応,リスク評価,リスク分析が含まれる。この活動の流れとして,

ITパスポート 2017年 (平成29年 秋期)
Q 5757 / 100
ISMSにおける情報セキュリティリスクの取扱いに関する"リスク及び機会に対処する活動"には,リスク対応,リスク評価,リスク分析が含まれる。この活動の流れとして,適切なものはどれか。
この問の正解率:60.24%(918件)

解説

ITパスポート 2017年 (平成29年 秋期) 問57「ISMSにおける情報セキュリティリスクの取扱いに関する"リスク及び機会に対処する…」の正解と解説です。ITパスポート試験の「テクノロジ系」分野の過去問で、これまでの受験者の正答率は約60%です。

正解

. リスク分析 → リスク評価 → リスク対応

正答率 60.2%(918人中 553人が正解)

問題の解説

ISMS(Information Security Management System)のリスクアセスメントと対応の流れを正確に理解する。ISMSではリスクアセスメントとして,(1)リスク特定→(2)リスク分析(発生可能性・影響度の評価)→(3)リスク評価(対応要否・優先順位の判断)→(4)リスク対応(回避・軽減・転嫁・受容の選択)という順序で実施する。正解はエ(分析→評価→対応)。

選択肢ごとの解説

  • リスク対応を最初に行うことはできない。どのリスクがどの程度の大きさかを分析・評価してから,何をすべきかを判断して対応する。対応→評価→分析の順序は論理的に成立しない。
  • リスク評価はリスク分析の結果を基に許容可能か否か,どの優先度で対応するかを判断する段階である。分析より先に評価しても,評価の基準となる発生可能性や影響度の情報がないため,評価が成立しない。
  • 分析の後に対応を行い,最後に評価する順序では,評価(対応要否の判断)をせずに対応を決定することになり,対応の優先度付けが適切に行われない。評価でリスクの受容可否を判断してから対応を選ぶのが正しい流れ。
  • リスク分析でリスクの発生可能性と潜在的影響を定量・定性的に把握し,リスク評価でリスク基準と比較して対応要否を判断し,リスク対応でリスクを修整するための選択肢を選ぶ流れ。ISO/IEC 27001の規定に沿った正しい順序。正解。

ITパスポート 2017年 (平成29年 秋期) の過去問一覧に戻る・問57

ITパスポート試験 の iOS アプリ版

アプリ版なら、よりスムーズに動作し、
スワイプで問題遷移ができます。

ITパスポート試験 合格.dev を App Store でダウンロード