情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 平成28年度秋期 午前 問6: 情報セキュリティ対策を検討する際の手法の一つであるベースラインアプローチの特徴はどれか。

問題本文

情報セキュリティ対策を検討する際の手法の一つであるベースラインアプローチの特徴はどれか。

選択肢

• ア.基準とする望ましい対策と組織の現状における対策とのギャップを分析する。
• イ.現場担当者の経験や考え方によって検討結果が左右されやすい。
• ウ.情報資産ごとにリスクを分析する。
• エ.複数のアプローチを併用して分析作業の効率化や分析精度の向上を図る。

正解

ア. 基準とする望ましい対策と組織の現状における対策とのギャップを分析する。

解説

ベースラインアプローチは，あらかじめ定めた標準的な対策基準（ベースライン）を設定し，組織の現状の対策がその基準を満たしているかのギャップを確認していく手法である。正解のアは，望ましい基準対策と現状とのギャップを分析するというこの特徴を正しく述べている。

選択肢ごとの解説

• ア.標準的な基準と現状のギャップを分析するのはベースラインアプローチの特徴であり正しい。
• イ.担当者の経験や考え方に結果が左右されやすいのは非形式的アプローチの特徴であり，定められた基準を用いるベースラインアプローチとは異なるため誤り。
• ウ.情報資産ごとに個別にリスクを分析するのは詳細リスク分析の特徴であり，一律の基準で評価するベースラインアプローチとは異なるため誤り。
• エ.複数の手法を併用して効率や精度を高めるのは組合せアプローチの特徴であり，単独手法であるベースラインアプローチの説明ではないため誤り。