情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 平成29年度春期 午前 問7: JIS Q 27000:2014(情報セキュリティマネジメントシステム-用語)における“リスクレベル”の定義はどれか。
←情報セキュリティマネジメント試験 平成29年度春期 午前
JIS Q 27000:2014(情報セキュリティマネジメントシステム-用語)における“”の定義はどれか。
問題本文
JIS Q 27000:2014(情報セキュリティマネジメントシステム-用語)における“リスクレベル”の定義はどれか。
選択肢
- ア.脅威によって付け込まれる可能性のある,資産又は管理策の弱点
- イ.結果とその起こりやすさの組合せとして表現される,リスクの大きさ
- ウ.対応すべきリスクに付与する優先順位
- エ.リスクの重大性を評価するために目安とする条件
正解
イ. 結果とその起こりやすさの組合せとして表現される,リスクの大きさ
解説
本問はJIS Q 27000:2014における「リスクレベル」の定義を問う。リスクレベルとは、リスクが顕在化したときの結果(影響の大きさ)とその起こりやすさ(発生可能性)の組合せで表されるリスクの大きさを指す。正解はイで、影響と頻度の両面からリスクの程度を表す概念である。
選択肢ごとの解説
- ア.誤り。脅威に付け込まれる資産や管理策の弱点は「脆弱性(ぜいじゃくせい)」の定義である。
- イ.正しい。結果と起こりやすさの組合せで表現されるリスクの大きさが「リスクレベル」の定義である。
- ウ.誤り。対応すべきリスクに付ける優先順位は「リスクの優先順位付け」に関する概念であり、リスクレベルそのものの定義ではない。
- エ.誤り。リスクの重大性を評価する目安とする条件は「リスク基準」の定義である。
情報セキュリティマネジメント試験 平成29年度春期 午前 の過去問一覧へ戻る・問7