情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 平成30年度春期 午前 問3: JIS Q 27000:2014(情報セキュリティマネジメントシステム-用語)におけるリスク評価についての説明として,適切なものはどれか。
←情報セキュリティマネジメント試験 平成30年度春期 午前
JIS Q 27000:2014(情報セキュリティマネジメントシステム-用語)におけるリスク評価についての説明として,適切なものはどれか。
問題本文
JIS Q 27000:2014(情報セキュリティマネジメントシステム-用語)におけるリスク評価についての説明として,適切なものはどれか。
選択肢
- ア.対策を講じることによって,リスクを修正するプロセス
- イ.リスクとその大きさが受容可能か否かを決定するために,リスク分析の結果をリスク基準と比較するプロセス
- ウ.リスクの特質を理解し,リスクレベルを決定するプロセス
- エ.リスクの発見,認識及び記述を行うプロセス
正解
イ. リスクとその大きさが受容可能か否かを決定するために,リスク分析の結果をリスク基準と比較するプロセス
解説
JIS Q 27000におけるリスクアセスメントは,リスク特定→リスク分析→リスク評価の順に構成される。このうちリスク評価とは,リスク分析の結果をあらかじめ定めたリスク基準と比較し,リスクとその大きさが受容可能か否かを決定するプロセスである。これに合致する選択肢イが正解である。
選択肢ごとの解説
- ア.対策を講じてリスクを修正するプロセスはリスク対応の説明であり,リスク評価ではない。
- イ.リスク分析の結果をリスク基準と比較し受容可能か否かを決定するという,リスク評価の定義に合致する。
- ウ.リスクの特質を理解しリスクレベルを決定するプロセスはリスク分析の説明であり,リスク評価ではない。
- エ.リスクの発見・認識・記述を行うプロセスはリスク特定の説明であり,リスク評価ではない。
情報セキュリティマネジメント試験 平成30年度春期 午前 の過去問一覧へ戻る・問3