JIS Q 27001:2006における情報システムのリスクとその評価に関する記述のうち、適切なものはどれか。
ア | 脅威とは、 |
イ | 脆弱性とは、情報システムに対して悪い影響を与える要因のことであり、自然災害、システム障害、人為的過失及び不正行為に大別される。 |
ウ | リスクの特定では、脅威が情報資産の脆弱性に付け込み、情報資産に与える影響を特定する。 |
エ | リスク評価では、リスク回避とリスク低減の二つに評価を分類し、リスクの大きさを判断して決める。 |
答え ウ
【解説】
ア | 脅威とは、組織が持っている情報資産に対し害を及ぼす事象のことです。 |
イ | 脆弱性とは、組織が持っている情報資産に対する脅威に弱い状態のことです。 |
ウ | リスク特定では、脅威が脆弱性に付け込み情報資産に与える影響を特定します。 |
エ | リスク評価では、リスク回避、リスク低減、リスク移転、リスク保有に分類します。 |
【キーワード】
・JIS Q 27001