平成28年 春期 情報セキュリティスペシャリスト 午前II 問11

JIS Q 27000における情報セキュリティリスクに関する定義のうち、適切なものはどれか。

 ア  脅威とは、一つ以上の要因によって悪用される可能性がある、資産又は管理策の弱点のことである。
 イ  脆弱性とは、望ましくないインシデントを引き起こし、システム又は組織に損害を与える可能性がある潜在的な原因のことである。
 ウ  リスク対応とは、リスクの大きさが、受容可能か又は許容可能かを決定するために、リスク分析の結果をリスク基準と比較するプロセスのことである。
 エ  リスク特定とは、リスクを発見、認識及び記述するプロセスのことであり、リスク源、事象、それらの原因及び起こり得る結果の特定が含まれる。


答え エ


解説

 ア  一つ以上の要因によって悪用される可能性がある、資産又は管理策の弱点のことは、脆弱性の説明です。(×)
 イ  望ましくないインシデントを引き起こし、システム又は組織に損害を与える可能性がある潜在的な原因のことは、脅威の説明です。(×)
 ウ  リスクの大きさが、受容可能か又は許容可能かを決定するために、リスク分析の結果をリスク基準と比較するプロセスのことは、リスク評価の説明です。(×)
 エ  リスクを発見、認識及び記述するプロセスのことであり、リスク源、事象、それらの原因及び起こり得る結果の特定が含まれるは、情報セキュリティリスクのリスク特定の説明です。(○)


キーワード
・JIS Q 27000

キーワードの解説
  • JIS Q 27000(情報セキュリティマネジメントシステム 用語)
    ISMS(Information Security Management System、情報セキュリティマネジメントシステム)ファミリー規格の概要で各規格において使用される用語等について規定した規格になります。
    JIS Q 27000規格群には、
    • JIS Q 27001 情報セキュリティマネジメントシステム 要求事項
    • JIS Q 27002 情報セキュリティ管理策の実践のための規範
    • JIS Q 27006 情報セキュリティマネジメントシステムの審査及び認証を行う機関に対する要求事項
    • JIS Q 27014 情報セキュリティガバナンス
    があります。

もっと、「JIS Q 27000」について調べてみよう。

戻る 一覧へ 次へ