ISMSにおけるリスク分析の方法の一つであるベースラインアプローチはどれか。
ア | 公表されている基準などに基いて一定のセキュリティレベルを設定し、実施している管理策とのギャップ分析を行った上で、リスクを評価する。 |
イ | 情報資産を洗い出し、それぞれの情報資産に対して資産価値、脅威、 |
ウ | 複数のリスク分析方法の長所を生かして組み合わせ、作業効率や分析精度の向上を図る。 |
エ | リスク分析を行う組織や担当者の判断によって、リスクを評価する。 |
答え ア
【解説】
ア | ベースラインアプローチは、自身で行っているセキュリティ内容と、世の中標準のセキュリティ内容を比較して、自身のセキュリティを世の中標準に引き上げる方法です。 この方法のメリットは、全体のリスクを短時間でチェックできることで、デメリットは未知のリスクに対応できないことなどです。 |
イ | 守るべき情報資産を洗い出して、リスク評価していくのは詳細リスク分析です。 この方法のメリットは詳細な内容が把握できるので対策が立てやすいことで、デメリットは時間がかかることなどです。 |
ウ | 複数のリスク分析方法を組み合わせて行うのは組み合わせアプローチです。資産価値の高いものには詳細リスク分析を適用し、低いものにはベースラインアプローチ適用します。 この方法のメリットは重要な情報資産に対し迅速な対策が行えることで、デメリットは情報資産の選択を誤ると十分な対策が行えないことなどです。 |
エ | 各担当者の知識・経験で行うのは非線形アプローチです。 この方法のメリットは対策の方法に自由度が高いことで、デメリットは担当者の能力に縛られてしまうことなどです。 |
【キーワード】
・ISMS
・ベースラインアプローチ