JIS Q 27001:2006における情報システムのリスクとその評価に関する記述のうち、適切なものはどれか。
ア |
脅威とは、脆弱性が顕在化する確率のことであり、情報システムに組み込まれた技術的管理策によって決まる。 |
イ |
脆弱性とは、情報システムに対して悪い影響を与える要因のことであり、自然災害、システム障害、人為的過失及び不正行為に大別される。 |
ウ |
リスクの特定では、脅威が情報資産の脆弱性に付け込み、情報資産に与える影響を特定する。 |
エ |
リスク評価では、リスク回避とリスク低減の二つに評価を分類し、リスクの大きさを判断して決める。 |
答え ウ
【解説】
ア |
脅威とは、組織が持っている情報資産に対し害を及ぼす事象のことです。 |
イ |
脆弱性とは、組織が持っている情報資産に対する脅威に弱い状態のことです。 |
ウ |
リスク特定では、脅威が脆弱性に付け込み情報資産に与える影響を特定します。 |
エ |
リスク評価では、リスク回避、リスク低減、リスク移転、リスク保有に分類します。 |
【キーワード】
・JIS Q 27001
【キーワードの解説】
- JIS Q 27001(情報セキュリティマネジメントシステム要求事項)
組織がISMS(Information Security Management System、情報セキュリティマネジメントシステム)を実践していることを監査・認証するときに、評価の基準となるものです。
監査・認証以外にも、組織がISMSを導入、維持、向上するときの参考資料としても利用できます。
もっと、「JIS Q 27001」について調べてみよう。
戻る
一覧へ
次へ
|