情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 科目A サンプル問題 問1: JIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)において,リスクを受容するプロセスに求められるものはどれか。
←情報セキュリティマネジメント試験 科目A サンプル問題
JIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)において,リスクを受容するプロセスに求められるものはどれか。
問題本文
JIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)において,リスクを受容するプロセスに求められるものはどれか。
選択肢
- ア.受容するリスクについては,リスク所有者が承認すること
- イ.受容するリスクを監視やレビューの対象外とすること
- ウ.リスクの受容は,リスク分析前に行うこと
- エ.リスクを受容するかどうかは,リスク対応後に決定すること
正解
ア. 受容するリスクについては,リスク所有者が承認すること
解説
ISMSにおけるリスク受容は、残留リスクを正式に受け入れる意思決定であり、その責任を負うのはそのリスクに責任と権限をもつリスク所有者である。JIS Q 27001はリスク対応計画とその結果としての残留リスクについて、リスク所有者の承認を得ることを要求しているため、アが正しい。受容は分析・評価・対応のプロセスを経た後に行う。
選択肢ごとの解説
- ア.リスクの受容(残留リスクの承認)はリスク所有者が行うと規格で定められており、正しい。
- イ.受容したリスクも状況変化で大きくなり得るため、監視・レビューの対象から外すのは誤り。
- ウ.リスク受容はリスク分析・評価を経た後に判断するものであり、分析前に行うのは誤り。
- エ.受容はリスク対応の選択肢の一つであり、対応の前に決定する。対応後に決めるという記述は誤り。
情報セキュリティマネジメント試験 科目A サンプル問題 の過去問一覧へ戻る・問1