平成22年 秋期 情報セキュリティスペシャリスト 午前II 問5

JIS Q 27001:2006における情報システムのリスクとその評価に関する記述のうち、適切なものはどれか。

 ア  脅威とは、(ぜい)弱性が顕在化する確率のことであり、情報システムに組み込まれた技術的管理策によって決まる。
 イ  脆弱性とは、情報システムに対して悪い影響を与える要因のことであり、自然災害、システム障害、人為的過失及び不正行為に大別される。
 ウ  リスクの特定では、脅威が情報資産の脆弱性に付け込み、情報資産に与える影響を特定する。
 エ  リスク評価では、リスク回避とリスク低減の二つに評価を分類し、リスクの大きさを判断して決める。


答え ウ


解説

 ア  脅威とは、組織が持っている情報資産に対し害を及ぼす事象のことです。
 イ  脆弱性とは、組織が持っている情報資産に対する脅威に弱い状態のことです。
 ウ  リスク特定では、脅威が脆弱性に付け込み情報資産に与える影響を特定します。
 エ  リスク評価では、リスク回避、リスク低減、リスク移転、リスク保有に分類します。


キーワード
・JIS Q 27001

キーワードの解説

戻る 一覧へ 次へ