情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和元年度秋期 午前Ⅱ 問9: 基本評価基準,現状評価基準,環境評価基準の三つの基準で情報システムの脆弱性の深刻度を評価するものはどれか。
←情報処理安全確保支援士試験 令和元年度秋期 午前Ⅱ
基本評価基準,現状評価基準,環境評価基準の三つの基準で情報システムの脆弱性の深刻度を評価するものはどれか。
問題本文
基本評価基準,現状評価基準,環境評価基準の三つの基準で情報システムの脆弱性の深刻度を評価するものはどれか。
選択肢
- ア.CVSS
- イ.ISMS
- ウ.PCI DSS
- エ.PMS
解説
CVSSは脆弱性の深刻度を共通の指標で数値化する仕組みで、固有の特性を表す基本評価基準、悪用状況や対策状況を表す現状評価基準、利用環境の影響度を表す環境評価基準の三つで評価する。これに合致するのはア。ISMSは管理体系、PCI DSSはカード業界の基準、PMSは個人情報保護のマネジメントで深刻度評価の指標ではない。実務では脆弱性対応の優先順位付けに用いる。
選択肢ごとの解説
- ア.基本・現状・環境の三基準で脆弱性の深刻度を評価する仕組みがCVSSであり、これが正解。
- イ.ISMSは情報セキュリティマネジメントの体系で、脆弱性の深刻度を数値評価する指標ではない。
- ウ.PCI DSSはクレジットカード情報保護のセキュリティ基準で、脆弱性深刻度の評価指標ではない。
- エ.PMSは個人情報保護マネジメントシステムで、脆弱性の深刻度評価とは目的が異なり誤り。
情報処理安全確保支援士試験 令和元年度秋期 午前Ⅱ の過去問一覧へ戻る・問9