情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 平成28年度春期 午前 問5: JIS Q 27001 において,リスクを受容するプロセスに求められるものはどれか。
←情報セキュリティマネジメント試験 平成28年度春期 午前
JIS Q 27001 において,リスクを受容するプロセスに求められるものはどれか。
問題本文
JIS Q 27001 において,リスクを受容するプロセスに求められるものはどれか。
選択肢
- ア.受容するリスクについては,リスク所有者が承認すること
- イ.受容するリスクをモニタリングやレビューの対象外とすること
- ウ.リスクの受容は,リスク分析前に行うこと
- エ.リスクを受容するかどうかは,リスク対応後に決定すること
正解
ア. 受容するリスクについては,リスク所有者が承認すること
解説
JIS Q 27001 では,リスク対応計画と残留リスクについてリスク所有者の承認を得ることが要求されている。残留リスクの受容はその責任を負うリスク所有者が承認しなければならないため,アが正解である。
選択肢ごとの解説
- ア.受容する残留リスクはリスク所有者の承認を得る必要があり,規格の要求事項に合致するため正しい。
- イ.受容したリスクも状況変化により再評価が必要であり,モニタリングやレビューの対象外にしてはならない。
- ウ.リスクの受容はリスク分析・評価を経た後に判断するものであり,分析前に受容を決めることはできない。
- エ.受容するか否かはリスク対応の選択肢の一つとして対応の中で決まるものであり,対応がすべて終わってから決定するという記述は適切でない。
情報セキュリティマネジメント試験 平成28年度春期 午前 の過去問一覧へ戻る・問5