情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 令和元年度秋期 午前 問3: JIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)において,リスクを受容するプロセスに求められるものはどれか。
←情報セキュリティマネジメント試験 令和元年度秋期 午前
JIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)において,リスクを受容するプロセスに求められるものはどれか。
問題本文
JIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)において,リスクを受容するプロセスに求められるものはどれか。
選択肢
- ア.受容するリスクについては,リスク所有者が承認すること
- イ.受容するリスクを監視やレビューの対象外とすること
- ウ.リスクの受容は,リスク分析前に行うこと
- エ.リスクを受容するかどうかは,リスク対応後に決定すること
正解
ア. 受容するリスクについては,リスク所有者が承認すること
解説
JIS Q 27001では、残留する情報セキュリティリスクの受容(リスク受容)について、リスク所有者の承認を得ることを要求している。受容するリスクをリスク所有者が承認するとした「ア」がこの要求事項に合致するため正解となる。
選択肢ごとの解説
- ア.JIS Q 27001はリスク受容についてリスク所有者の承認を得ることを求めており、記述が要求事項に一致するので正しい。
- イ.受容したリスクであっても状況変化に備えて監視・レビューの対象とすべきであり、対象外とするのは誤りである。
- ウ.リスク受容はリスク分析・評価を行って大きさを把握した後に判断するものであり、分析前に行うのは誤りである。
- エ.受容するかどうかはリスク対応の選択肢の一つとして決定するものであり、リスク対応後に決定するという順序は誤りである。
情報セキュリティマネジメント試験 令和元年度秋期 午前 の過去問一覧へ戻る・問3