問題本文
ISMSにおける情報セキュリティリスクアセスメントでは,リスクの特定,分析及び評価を行う。リスクの評価で行うものだけを全て挙げたものはどれか。 a あらかじめ定めた基準によって,分析したリスクの優先順位付けを行う。 b 保護すべき情報資産の取扱いにおいて存在するリスクを洗い出す。 c リスクが顕在化したときに,対応を実施するかどうかを判断するための基準を定める。
解説
ISMS(情報セキュリティマネジメントシステム)におけるリスクアセスメントは「リスクの特定→リスクの分析→リスクの評価」の三段階からなる。リスクの評価(risk evaluation)は分析済みのリスクをあらかじめ定めた受容基準・優先順位基準と照らし合わせて対応の要否・優先順位を決定する活動である。bのリスク洗い出しは「特定」、cの基準設定は「評価」の前提準備であり評価活動そのものではない。よってリスク評価に該当するのはaのみ。
選択肢ごとの解説
- ア.正解。a(あらかじめ定めた基準によって分析したリスクの優先順位付けを行う)がリスクの評価活動の中核である。ISO/IEC 27001のリスクアセスメントプロセスでは、リスク評価とは分析されたリスクを受容基準と比較し、リスク対応の優先度や要否を判断する活動と定義されており、aはこれに該当する。
- イ.誤り。「a,b」という組合せだが、bはリスク評価ではなくリスクの特定(risk identification)の活動である。情報資産のリスク洗い出し・脅威と脆弱性の識別はリスクの特定段階に属し、評価段階よりも前に実施される。評価はすでに特定・分析済みのリスクに対して優先度を付ける活動であるためbは含まれない。
- ウ.誤り。bのみを選択しているが、bはリスクの特定(保護すべき情報資産のリスクを洗い出す)に該当し、リスク評価ではない。リスクの三段階(特定・分析・評価)のうち最初のステップであるリスクの特定に分類されるため、「リスクの評価で行うもの」としては誤りである。
- エ.誤り。cは「リスクが顕在化したときに対応を実施するかどうかを判断するための基準を定める」活動であるが、これはリスク評価の前提となる基準設定(受容基準の策定)であり評価活動そのものではない。基準策定はリスクアセスメント実施前の準備段階に当たり、評価プロセスの一部として実施するものではない。
ITパスポート 2018年 (平成30年 秋期) の過去問一覧へ戻る・問99