問題本文
ISMSにおけるリスク分析に関する記述として,適切なものはどれか。
選択肢
- ア.異なる情報資産について,脅威と脆弱性のレベルが同じであれば,その資産価値が小さいほどリスク値は大きくなる。
- イ.システムの規模や重要度にかかわらず,全てのリスクを詳細に分析しなければならない。
- ウ.電子データは分析の対象とするが,紙媒体のデータは対象としない。
- エ.リスクの内容は業界や業種によって異なることから,対象とする組織に適した分析手法を用いる。
正解
エ. リスクの内容は業界や業種によって異なることから,対象とする組織に適した分析手法を用いる。
解説
ISMSのリスク分析では組織の事業特性・業界特性に応じた分析手法を選択する。資産価値が大きいほどリスクは大きく,紙媒体も対象。全リスクを同一レベルで分析する必要はない。
選択肢ごとの解説
- ア.資産価値が大きいほどリスク値は大きくなる。小さいほど大きくなるは逆で誤り。
- イ.システム規模・重要度にかかわらず全て詳細分析するのは非効率で不適切。
- ウ.紙媒体も情報資産として分析対象に含む。電子データだけとするのは誤り。
- エ.組織の特性に応じた適切な分析手法を選択するのが正しい。正解。
ITパスポート 2018年 (平成30年 春期) の過去問一覧へ戻る・問70