合格.dev › 情報処理安全確保支援士試験 › 情報処理安全確保支援士試験 令和5年度秋期 午前Ⅱ › 問11 情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和5年度秋期 午前Ⅱ 問11: JIS Q 27000:2019(情報セキュリティマネジメントシステム-用語)の用語に関する記述のうち,適切なものはどれか。 ← 情報処理安全確保支援士試験 令和5年度秋期 午前Ⅱ
☆ JIS Q 27000:2019(情報セキュリティマネジメントシステム-用語)の用語に関する記述のうち,適切なものはどれか。
脅威とは,一つ以上の要因によって付け込まれる可能性がある,資産又は管理策の弱点のことである。
脆弱性とは,システム又は組織に損害を与える可能性がある,望ましくないインシデントの潜在的な原因のことである。
リスク対応とは,リスクの大きさが,受容可能又は許容可能かを決定するために,リスク分析の結果をリスク基準と比較するプロセスのことである。
リスク特定とは,リスクを発見,認識及び記述するプロセスのことであり,リスク源,事象,それらの原因及び起こり得る結果の特定が含まれる。
問題本文 JIS Q 27000:2019(情報セキュリティマネジメントシステム-用語)の用語に関する記述のうち,適切なものはどれか。
選択肢 ア. 脅威とは,一つ以上の要因によって付け込まれる可能性がある,資産又は管理策の弱点のことである。イ. 脆弱性とは,システム又は組織に損害を与える可能性がある,望ましくないインシデントの潜在的な原因のことである。ウ. リスク対応とは,リスクの大きさが,受容可能又は許容可能かを決定するために,リスク分析の結果をリスク基準と比較するプロセスのことである。エ. リスク特定とは,リスクを発見,認識及び記述するプロセスのことであり,リスク源,事象,それらの原因及び起こり得る結果の特定が含まれる。正解 エ. リスク特定とは,リスクを発見,認識及び記述するプロセスのことであり,リスク源,事象,それらの原因及び起こり得る結果の特定が含まれる。
解説 JIS Q 27000の用語定義では、リスク特定は「リスクを発見・認識・記述するプロセス」であり、リスク源・事象・原因・結果の特定を含む。よってエが正解。脅威と脆弱性、リスク評価とリスク対応など用語が入れ替えられた選択 肢に注意が必要。実務ではこれら用語を正確に使い分けることが、リスクアセスメント の一貫した実施基盤となる。
選択肢ごとの解説 ア. 資産や管理策の弱点は脆弱性の定義であり、脅威の説明としては誤り。イ. 望ましくないインシデントの潜在的原因は脅威の定義で、脆弱性ではない。ウ. リスク基準と比較し受容可否を決めるのはリスク評価で、リスク対応ではない。エ. リスクを発見・認識・記述しリスク源等を特定する、リスク特定の定義そのもの。情報処理安全確保支援士試験 令和5年度秋期 午前Ⅱ の過去問一覧 へ戻る・問11
この問題で扱った分野をさらに深掘りしたい方へ。情報処理安全確保支援士試験の試験概要・出題範囲・合格基準・標準学習スケジュール・分野別の攻略法までを 1 ページに集約した独自編集の学習ガイド と、よくある質問をまとめた FAQ を用意しています。
解答に出てきた用語や手順を体系的にまとめて確認したいとき 受験スケジュール・申込み方法・合格基準を改めて整理したいとき 本サイトの「順番に解く / ランダム / 模試」など学習モードの使い分けを知りたいとき
この問題ページの解説・ヒント・分野タグ・関連問題リンクは、すべて合格.dev 編集部による独自編集です (問題文・選択肢は試験団体の公表過去問の引用)。詳しくは 編集方針 ・ 出典一覧 を参照してください。