JIS Q 27000:2014(情報セキュリティマネジメントシステム−用語)における情報セキュリティリスクに関する記述のうち、適切なものはどれか。
| ア | 脅威とは、一つ以上の要因によって悪用される可能性がある、資産又は管理策の弱点のことである。 |
| イ | |
| ウ | リスク対応とは、リスクの大きさが、受容可能か又は許容可能かを決定するために、リスク分析の結果をリスク基準と比較するプロセスのことである。 |
| エ | リスク特定とは、リスクを発見、認識及び記述するプロセスのことであり、リスク源、事象、それらの原因及び起こり得る結果の特定が含まれる。 |
答え エ
【解説】
| ア | 一つ以上の要因によって悪用される可能性がある、資産又は管理策の弱点のことは、脆弱性の説明です。(×) |
| イ | 望ましくないインシデントを引き起こし、システム又は組織に損害を与える可能性がある潜在的な原因のことは、脅威の説明です。(×) |
| ウ | リスクの大きさが、受容可能か又は許容可能かを決定するために、リスク分析の結果をリスク基準と比較するプロセスのことは、リスク評価の説明です。(×) |
| エ | リスクを発見、認識及び記述するプロセスのことであり、リスク源、事象、それらの原因及び起こり得る結果の特定が含まれるは、情報セキュリティリスクのリスク特定の説明です。(○) |
【キーワード】
・ISMS
- ISMS(Information Security Management System、情報セキュリティマネジメントシステム)
情報に関するセキュリティを管理するための仕組で国際的にはISO化され、日本でもJISで規定されています。
ISMSでは、どういった情報資産があるかを洗い出し、その情報資産についてのリスク分析を行い、リスク対策をし、セキュリティを高めます。
ISMSでは、情報資産の洗い出しから始まって、リスク分析、対策の検討実施、効果の確認、見直しをPDCA(plan-do-check-act)サイクルを回しながら行っていきます。
もっと、「ISMS」について調べてみよう。
戻る
一覧へ
次へ