A社は、分析・計測機器などの販売及び機器を利用した試料の分析受託業務を行う分析機器メーカーである。 A社では、図1の“情報セキュリティリスクアセスメント手順”に従い、年一度、情報セキュリティリスクアセスメントを行っている。
|
A社の情報セキュリティリーダーであるBさんは、年次の情報セキュリティリスクアセスメントを行い、結果を情報資産管理台帳に表1のとおり記載した。
表1 A社の情報資産管理台帳(抜粋)
|
設問 | 表1中の各情報資産のうち、保有以外のリスク対応を行うべきものはどれか。 該当するものだけを全て挙げた組合せを、解答群の中から選べ。 |
ア | (一)、(二) |
イ | (一)、(二)、(三) |
ウ | (一)、(二)、(四) |
エ | (一)、(三) |
オ | (一)、(三)、(四) |
カ | (一)、(四) |
キ | (二)、(三) |
ク | (二)、(三)、(四) |
ケ | (二)、(四) |
コ | (三)、(四) |
答え エ
【解説】
情報資産の重要度を求め、リスク値を算出すると
情報資産 | 機密性の評価値 | 完全性の評価値 | 可用性の評価値 | 情報資産の重要度 | 脅威の評価値 | 脆弱性の評価値 | リスク値 |
(一) 従業員の健康診断の情報 | 2 | 2 | 2 | 2 | 2 | 2 | 8 |
(二) 行動規範などの社内ルール | 1 | 2 | 1 | 2 | 1 | 1 | 2 |
(三) 自社Webサイトに掲載している会社情報 | 0 | 2 | 2 | 2 | 2 | 2 | 8 |
(四) 分析結果の精度を向上させるために開発した技術 | 2 | 2 | 1 | 2 | 2 | 1 | 4 |
【キーワード】
・スコアリングモデル