JIS Q 27001:2006における情報システムのリスクとその評価に関する記述のうち、適切なものはどれか。
| ア | 脅威とは、 |
| イ | 脆弱性とは、情報システムに対して悪い影響を与える要因のことであり、自然災害、システム障害、人為的過失及び不正行為に大別される。 |
| ウ | リスクの特定では、脅威が情報資産の脆弱性に付け込むことによって、情報資産に与える影響を特定する。 |
| エ | リスク評価では、リスク回避とリスク低減の二つに評価を分類し、リスクの大きさを判断して対策を決める。 |
答え ウ
【解説】
| ア | 脅威とは、組織が持っている情報資産に対し害を及ぼす事象のことです。 |
| イ | 脆弱性とは、組織が持っている情報資産に対する脅威に弱い状態のことです。 |
| ウ | リスク特定では、脅威が脆弱性に付け込み情報資産に与える影響を特定します。 |
| エ | リスク評価では、リスク回避、リスク低減、リスク移転、リスク保有に分類します。 |
【キーワード】
・JIS Q 27001
- JIS Q 27001(情報セキュリティマネジメントシステム要求事項)
組織がISMS(Information Security Management System、情報セキュリティマネジメントシステム)を実践していることを監査・認証するときに、評価の基準となるものです。
監査・認証以外にも、組織がISMSを導入、維持、向上するときの参考資料としても利用できます。
もっと、「JIS Q 27001」について調べてみよう。
戻る
一覧へ
次へ