合格.dev › 情報処理安全確保支援士試験 › 情報処理安全確保支援士試験 平成29年度秋期 午前Ⅱ › 問12 情報処理安全確保支援士試験 情報処理安全確保支援士試験 平成29年度秋期 午前Ⅱ 問12: JIS Q 27000:2014(情報セキュリティマネジメントシステム-用語)における情報セキュリティリスクに関する記述のうち,適切なものはどれか。 ← 情報処理安全確保支援士試験 平成29年度秋期 午前Ⅱ
☆ JIS Q 27000:2014(情報セキュリティマネジメントシステム-用語)における情報セキュリティリスクに関する記述のうち,適切なものはどれか。
脅威とは,一つ以上の要因によって悪用される可能性がある,資産又は管理策の弱点のことである。
脆弱性とは,システム又は組織に損害を与える可能性がある,望ましくないインシデントの潜在的な原因のことである。
リスク対応とは,リスクの大きさが,受容可能か又は許容可能かを決定するために,リスク分析の結果をリスク基準と比較するプロセスのことである。
リスク特定とは,リスクを発見,認識及び記述するプロセスのことであり,リスク源,事象,それらの原因及び起こり得る結果の特定が含まれる。
問題本文 JIS Q 27000:2014(情報セキュリティマネジメントシステム-用語)における情報セキュリティリスクに関する記述のうち,適切なものはどれか。
選択肢 ア. 脅威とは,一つ以上の要因によって悪用される可能性がある,資産又は管理策の弱点のことである。イ. 脆弱性とは,システム又は組織に損害を与える可能性がある,望ましくないインシデントの潜在的な原因のことである。ウ. リスク対応とは,リスクの大きさが,受容可能か又は許容可能かを決定するために,リスク分析の結果をリスク基準と比較するプロセスのことである。エ. リスク特定とは,リスクを発見,認識及び記述するプロセスのことであり,リスク源,事象,それらの原因及び起こり得る結果の特定が含まれる。正解 エ. リスク特定とは,リスクを発見,認識及び記述するプロセスのことであり,リスク源,事象,それらの原因及び起こり得る結果の特定が含まれる。
解説 JIS Q 27000の用語では、リスク特定は「リスクを発見・認識・記述するプロセス」であり、リスク源・事象・原因・起こり得る結果の洗い出しを含む。リスクアセスメント の最初の段階に当たる。よってエが正しい。脅威・脆弱性・リスク対応の定義が入れ替えられた他選択 肢が誤り。実務ではこの段階で資産・脅威・脆弱性を漏れなく把握できるかが、後続の分析と対応の質を左右する。
選択肢ごとの解説 ア. 資産や管理策の弱点で要因に悪用されうるものは脆弱性の定義であり、脅威の説明としては誤り。イ. 望ましくないインシデントの潜在的原因は脅威の定義で、脆弱性の説明ではなく誤り。ウ. リスク分析結果を基準と比較し受容可否を決めるのはリスク評価で、リスク対応ではなく誤り。エ. リスクを発見・認識・記述しリスク源や結果を特定するリスク特定の定義どおりで正解。情報処理安全確保支援士試験 平成29年度秋期 午前Ⅱ の過去問一覧 へ戻る・問12
この問題で扱った分野をさらに深掘りしたい方へ。情報処理安全確保支援士試験の試験概要・出題範囲・合格基準・標準学習スケジュール・分野別の攻略法までを 1 ページに集約した独自編集の学習ガイド と、よくある質問をまとめた FAQ を用意しています。
解答に出てきた用語や手順を体系的にまとめて確認したいとき 受験スケジュール・申込み方法・合格基準を改めて整理したいとき 本サイトの「順番に解く / ランダム / 模試」など学習モードの使い分けを知りたいとき
この問題ページの解説・ヒント・分野タグ・関連問題リンクは、すべて合格.dev 編集部による独自編集です (問題文・選択肢は試験団体の公表過去問の引用)。詳しくは 編集方針 ・ 出典一覧 を参照してください。