平成30年 秋期 ITパスポート 問99

ISMSにおける情報セキュリティアセスメントでは、リスクの特定、分析及び評価を行う。
リスクの評価で行うものだけを全て挙げたものはどれか。

 a  あらかじめ定めた基準によって、分析したリスクの優先順位付けを行う。
 b  保護すべき情報資産の取扱において存在するリスクを洗い出す。
 c  リスクが顕在化したときに、対応を実施するかどうかを判断するための基準を定める。

 ア  a  イ  a、b  ウ  b  エ  c


答え ア


解説

 a  あらかじめ定めた基準によって、分析したリスクの優先順位付けを行うのは、リスクの評価です。
 b  保護すべき情報資産の取扱において存在するリスクを洗い出すのは、リスクの特定です。
 c  リスクが顕在化したときに、対応を実施するかどうかを判断するための基準を定めるのは、リスクの分析です。


キーワード
・リスクアセスメント

キーワードの解説
  • リスクアセスメント(risk assessment)
    組織や情報システムなどが内包している、リスクを洗い出し、そのリスクの大きさ(影響度)を評価し、そのリスクが許容できるかを判断するプロセスです。
    許容できない場合には、リスク防止やリスク回避といった対策を行い。許容できる場合にはリスクが顕在化したときの対処手順を作成します。

もっと、「リスクアセスメント」について調べてみよう。

戻る 一覧へ 次へ