JIS Q 27001(情報セキュリティマネジメントシステム−要求事項)において、リスクを受容するプロセスに求められるものはどれか。
| ア | 受容するリスクについては、リスク所有者が承認すること |
| イ | 受容するリスクの監視やレビューの対象外とすること |
| ウ | リスクの受容は、リスク分析前に行うこと |
| エ | リスクを受容するかどうかは、リスク対応後に決定すること |
答え ア
【解説】
リスクを受容(保有)は、発生する可能性のあるリスクに対し事前に低減、回避、転嫁(移転)などの対策を行わず、発生するリスクを受け入れることです。
当然ですがリスクを受け入れるので、そのリスクは発生する可能性が低く、リスクによる影響(被害)が小さいもので、その情報システムの責任者(リスク所有者)が受容することを承認したものに限られます。
【キーワード】
・JIS Q 27001
- JIS Q 27001(情報セキュリティマネジメントシステム要求事項)
組織がISMS(Information Security Management System、情報セキュリティマネジメントシステム)を実践していることを監査・認証するときに、評価の基準となるものです。
監査・認証以外にも、組織がISMSを導入、維持、向上するときの参考資料としても利用できます。
もっと、「JIS Q 27001」について調べてみよう。
戻る
一覧へ
次へ