ITパスポート試験 過去問解説
ISMSとは?ITパスポート試験 2017年 (平成29年 秋期) 問57を解説
ITパスポート試験 2017年 (平成29年 秋期) 問57は、ISMSに関する理解を問う問題です。検索から入っても、問題文、選択肢、正解、解説、各選択肢がなぜ違うかをこのページだけで確認できます。
問題文
ISMSにおける情報セキュリティリスクの取扱いに関する"リスク及び機会に対処する活動"には,リスク対応,リスク評価,リスク分析が含まれる。この活動の流れとして,適切なものはどれか。
この問題の出題ポイント
- ISMSの定義だけでなく、問題文中の条件がどの選択肢に当てはまるかを確認する。
- テクノロジ系分野では、用語の目的・主体・責任範囲の違いが選択肢で問われやすい。
- 関連タグ: ISMS、リスクアセスメント。
選択肢
- アリスク対応 → リスク評価 → リスク分析
- イリスク評価 → リスク分析 → リスク対応
- ウリスク分析 → リスク対応 → リスク評価
- エリスク分析 → リスク評価 → リスク対応正解
正解
エ: リスク分析 → リスク評価 → リスク対応
解説
ISMS(Information Security Management System)のリスクアセスメントと対応の流れを正確に理解する。ISMSではリスクアセスメントとして,(1)リスク特定→(2)リスク分析(発生可能性・影響度の評価)→(3)リスク評価(対応要否・優先順位の判断)→(4)リスク対応(回避・軽減・転嫁・受容の選択)という順序で実施する。正解はエ(分析→評価→対応)。
なぜ他の選択肢が違うのか
ア
リスク対応を最初に行うことはできない。どのリスクがどの程度の大きさかを分析・評価してから,何をすべきかを判断して対応する。対応→評価→分析の順序は論理的に成立しない。
イ
リスク評価はリスク分析の結果を基に許容可能か否か,どの優先度で対応するかを判断する段階である。分析より先に評価しても,評価の基準となる発生可能性や影響度の情報がないため,評価が成立しない。
ウ
分析の後に対応を行い,最後に評価する順序では,評価(対応要否の判断)をせずに対応を決定することになり,対応の優先度付けが適切に行われない。評価でリスクの受容可否を判断してから対応を選ぶのが正しい流れ。
エ(正解)
リスク分析でリスクの発生可能性と潜在的影響を定量・定性的に把握し,リスク評価でリスク基準と比較して対応要否を判断し,リスク対応でリスクを修整するための選択肢を選ぶ流れ。ISO/IEC 27001の規定に沿った正しい順序。正解。
解き方の整理
ISMSの問題では、選択肢のキーワードだけで判断せず、問題文が示す条件と正解選択肢の説明が一致しているかを見ます。誤答選択肢は、似た用語を混ぜる、主体を入れ替える、目的や範囲を広げすぎる、という形で作られることが多いため、選択肢別解説まで確認しておくと復習効率が上がります。
関連用語
関連問題
前後の問題
2017年 (平成29年 秋期) の関連する問題
復習を続ける
間違えた問題、苦手タグ、模試履歴を保存して復習する導線を用意しています。広告なしPro、弱点分析、復習リマインダーは段階的に提供予定です。