平成31年 春期 基本情報技術者 午前 問41

JIS Q 27001:2014(情報セキュリティマネジメントシステム−要求事項)における“リスクレベル”の定義はどれか。

 ア  脅威によって付け込まれる可能性のある、資産又は管理策の弱点
 イ  結果とその起こりやすさの組合せとして表現される、リスクの大きさ
 ウ  対応すべきリスクに付与する優先順位
 エ  リスクの重大性を評価するために目安とする条件


答え イ


解説

 ア  脅威によって付け込まれる可能性のある、資産又は管理策の弱点は、脆弱性です。
 イ  結果とその起こりやすさの組合せとして表現される、リスクの大きさは、リスクレベルです。
 ウ  対応すべきリスクに付与する優先順位は、リスク分析で行う作業です。
 エ  リスクの重大性を評価するために目安とする条件は、リスク基準の定義です。


キーワード
・リスクアセスメント

キーワードの解説
  • リスクアセスメント(risk assessment)
    組織や情報システムなどが内包している、リスクを洗い出し、そのリスクの大きさ(影響度)を評価し、そのリスクが許容できるかを判断するプロセスです。
    許容できない場合には、リスク防止やリスク回避といった対策を行い、許容できる場合にはリスクが顕在化したときの対処手順を作成します。

もっと、「リスクアセスメント」について調べてみよう。

戻る 一覧へ 次へ