合格.dev › 情報処理安全確保支援士試験 › 情報セキュリティスペシャリスト試験 平成28年度春期 午前Ⅱ › 問11 情報処理安全確保支援士試験 情報セキュリティスペシャリスト試験 平成28年度春期 午前Ⅱ 問11: JIS Q 27000 における情報セキュリティリスクに関する定義のうち,適切なものはどれか。 ← 情報セキュリティスペシャリスト試験 平成28年度春期 午前Ⅱ
☆ JIS Q 27000 における情報セキュリティリスクに関する定義のうち,適切なものはどれか。
脅威とは,一つ以上の要因によって悪用される可能性がある,資産又は管理策の弱点のことである。
脆弱性とは,望ましくないインシデントを引き起こし,システム又は組織に損害を与える可能性がある潜在的な原因のことである。
リスク対応とは,リスクの大きさが,受容可能又は許容可能かを決定するために,リスク分析の結果をリスク基準と比較するプロセスのことである。
リスク特定とは,リスクを発見,認識及び記述するプロセスのことであり,リスク源,事象,それらの原因及び起こり得る結果の特定が含まれる。
問題本文 JIS Q 27000 における情報セキュリティリスクに関する定義のうち,適切なものはどれか。
選択肢 ア. 脅威とは,一つ以上の要因によって悪用される可能性がある,資産又は管理策の弱点のことである。イ. 脆弱性とは,望ましくないインシデントを引き起こし,システム又は組織に損害を与える可能性がある潜在的な原因のことである。ウ. リスク対応とは,リスクの大きさが,受容可能又は許容可能かを決定するために,リスク分析の結果をリスク基準と比較するプロセスのことである。エ. リスク特定とは,リスクを発見,認識及び記述するプロセスのことであり,リスク源,事象,それらの原因及び起こり得る結果の特定が含まれる。正解 エ. リスク特定とは,リスクを発見,認識及び記述するプロセスのことであり,リスク源,事象,それらの原因及び起こり得る結果の特定が含まれる。
解説 JIS Q 27000では各用語が明確に定義される。リスク特定はリスクを発見・認識・記述するプロセスで、リスク源・事象・原因・結果の特定を含む。一方、脆弱性は資産や管理策の弱点、脅威は損害を与え得る潜在的原因であり、エの2語の説明は脆弱性と脅威が入れ替わっている。リスク評価はリスク基準との比較で、リスク対応とは別概念。実務ではこれら用語を正確に使い分けることがISMS運用の前提となる。
選択肢ごとの解説 ア. 資産や管理策の弱点は脆弱性の定義であり、脅威の説明としては誤り。イ. 損害を与え得る潜在的原因は脅威の定義であり、脆弱性の説明としては誤り。ウ. リスク分析結果を基準と比較するのはリスク評価であり、リスク対応の説明としては誤り。エ. リスクを発見・認識・記述しリスク源や事象等を特定するというリスク特定の定義どおりで正しい。情報セキュリティスペシャリスト試験 平成28年度春期 午前Ⅱ の過去問一覧 へ戻る・問11
この問題で扱った分野をさらに深掘りしたい方へ。情報処理安全確保支援士試験の試験概要・出題範囲・合格基準・標準学習スケジュール・分野別の攻略法までを 1 ページに集約した独自編集の学習ガイド と、よくある質問をまとめた FAQ を用意しています。
解答に出てきた用語や手順を体系的にまとめて確認したいとき 受験スケジュール・申込み方法・合格基準を改めて整理したいとき 本サイトの「順番に解く / ランダム / 模試」など学習モードの使い分けを知りたいとき
この問題ページの解説・ヒント・分野タグ・関連問題リンクは、すべて合格.dev 編集部による独自編集です (問題文・選択肢は試験団体の公表過去問の引用)。詳しくは 編集方針 ・ 出典一覧 を参照してください。