平成28年 秋期 情報セキュリティマネジメント 午前 問8

JIS Q 27000におけるリスク評価はどれか。

 ア  対策を講じることによって、リスクを修正するプロセス
 イ  リスクが受容可能か否かを決定するために、リスク分析の結果をリスク基準と比較するプロセス
 ウ  リスクの特質を理解し、リスクレベルを決定するプロセス
 エ  リスクの発見、認識及び記述を行うプロセス


答え イ


解説
リスク評価(risk evaluation)は、リスク(とその大きさ)が受容(許容)可能かを決定するためにリスク分析の結果をリスク基準と比較するプロセスです。
リスクアセスメント(risk assessment)を“リスク評価”と訳していることもありますが、リスクアセスメントはリスク評価(risk evaluation)で評価した結果に考察を行い判断するところまでなので、活動内容が少し違います。


キーワード
・JIS Q 27000

キーワードの解説
  • JIS Q 27000(情報セキュリティマネジメントシステム 用語)
    ISMS(Information Security Management System、情報セキュリティマネジメントシステム)ファミリー規格の概要で各規格において使用される用語等について規定した規格になります。
    JIS Q 27000規格群には、
    • JIS Q 27001 情報セキュリティマネジメントシステム 要求事項
    • JIS Q 27002 情報セキュリティ管理策の実践のための規範
    • JIS Q 27006 情報セキュリティマネジメントシステムの審査及び認証を行う機関に対する要求事項
    • JIS Q 27014 情報セキュリティガバナンス
    があります。

もっと、「JIS Q 27000」について調べてみよう。

戻る 一覧へ 次へ