平成29年秋期情報セキュリティマネジメント午前問7

JIS Q 27001:2014(情報セキュリティマネジメントシステム－要求事項)に従ったリスク評価において、情報セキュリティリスクが受容可能か否かの意思決定を行う際に、リスク分析結果と比較するものはどれか。

　ア

　組織の情報セキュリティインシデントシナリオ

　イ

　組織の情報セキュリティのインシデント対応フロー

　ウ

　組織の情報セキュリティのリスク基準

　エ

　組織の情報セキュリティリスク対応計画

答え　ウ

【解説】
リスク評価はリスクアセスメントで行われるプロセスで、リスクアセスメントでは

リスク特定(risk identification)
リスクを発見し、認識し、記述するプロセス
リスク分析(risk analysis)
リスクの特質を理解し、リスクレベルを決定するプロセス
リスク評価(risk evaluation)
リスクが受容可能かを決定するためにリスク分析の結果をリスク基準と比較するプロセス

のプロセスを行います。

【キーワード】
・リスクアセスメント

キーワードの解説

リスクアセスメント(risk assessment)
組織や情報システムなどが内包している、リスクを洗い出し、そのリスクの大きさ(影響度)を評価し、そのリスクが許容できるかを判断するプロセスです。
許容できない場合には、リスク防止やリスク回避といった対策を行い、許容できる場合にはリスクが顕在化したときの対処手順を作成します。

平成29年 秋期 情報セキュリティマネジメント 午前 問7

平成29年秋期情報セキュリティマネジメント午前問7