合格.dev › 情報処理安全確保支援士試験 › 情報処理安全確保支援士試験 令和7年度春期 午前Ⅱ › 問10 情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和7年度春期 午前Ⅱ 問10: JIS Q 27000:2019(情報セキュリティマネジメントシステム-用語)の用語に関する記述のうち,適切なものはどれか。 ← 情報処理安全確保支援士試験 令和7年度春期 午前Ⅱ
☆ JIS Q 27000:2019(情報セキュリティマネジメントシステム-用語)の用語に関する記述のうち,適切なものはどれか。
脅威とは,一つ以上の要因によって付け込まれる可能性がある,資産又は管理策の弱点のことである。
脆弱性とは,システム又は組織に損害を与える可能性がある,望ましくないインシデントの潜在的な原因のことである。
リスク対応とは,リスクの大きさが,受容可能か又は許容可能かを決定するために,リスク分析の結果をリスク基準と比較するプロセスのことである。
リスク特定とは,リスクを発見,認識及び記述するプロセスのことであり,リスク源,事象,それらの原因及び起こり得る結果の特定が含まれる。
0.00%
問題本文 JIS Q 27000:2019(情報セキュリティマネジメントシステム-用語)の用語に関する記述のうち,適切なものはどれか。
選択肢 ア. 脅威とは,一つ以上の要因によって付け込まれる可能性がある,資産又は管理策の弱点のことである。イ. 脆弱性とは,システム又は組織に損害を与える可能性がある,望ましくないインシデントの潜在的な原因のことである。ウ. リスク対応とは,リスクの大きさが,受容可能か又は許容可能かを決定するために,リスク分析の結果をリスク基準と比較するプロセスのことである。エ. リスク特定とは,リスクを発見,認識及び記述するプロセスのことであり,リスク源,事象,それらの原因及び起こり得る結果の特定が含まれる。正解 エ. リスク特定とは,リスクを発見,認識及び記述するプロセスのことであり,リスク源,事象,それらの原因及び起こり得る結果の特定が含まれる。
解説 JIS Q 27000の用語定義の正確な理解を問う問題。脅威は損害を与えうる望ましくない事象の潜在的原因、脆弱性は脅威に付け込まれる弱点、リスク評価はリスク基準との比較、リスク特定はリスクを発見・認識・記述する過程を指す。エがリスク特定の定義に合致し正解。実務では各用語を正しく区別することがリスクアセスメント の前提となる。
選択肢ごとの解説 ア. 資産や管理策の弱点は脆弱性の定義であり、脅威の説明としては誤り。イ. 望ましくない事象の潜在的原因は脅威の定義であり、脆弱性の説明としては誤り。ウ. リスク基準と比較し受容可否を決めるのはリスク評価であり、リスク対応の説明として誤り。エ. リスクを発見・認識・記述しリスク源や事象を特定する、リスク特定の定義どおりで正解。情報処理安全確保支援士試験 令和7年度春期 午前Ⅱ の過去問一覧 へ戻る・問10
この問題で扱った分野をさらに深掘りしたい方へ。情報処理安全確保支援士試験の試験概要・出題範囲・合格基準・標準学習スケジュール・分野別の攻略法までを 1 ページに集約した独自編集の学習ガイド と、よくある質問をまとめた FAQ を用意しています。
解答に出てきた用語や手順を体系的にまとめて確認したいとき 受験スケジュール・申込み方法・合格基準を改めて整理したいとき 本サイトの「順番に解く / ランダム / 模試」など学習モードの使い分けを知りたいとき
この問題ページの解説・ヒント・分野タグ・関連問題リンクは、すべて合格.dev 編集部による独自編集です (問題文・選択肢は試験団体の公表過去問の引用)。詳しくは 編集方針 ・ 出典一覧 を参照してください。