平成30年春期情報セキュリティマネジメント午前問3

JIS Q 27000:2014(情報セキュリティマネジメントシステム－用語)におけるリスク評価についての説明として、適切なものはどれか。

　ア

　対策を講じることによって、リスクを修正するプロセス

　イ

　リスクとその大きさが受容可能か否かを決定するために、リスク分析の結果をリスク基準と比較するプロセス

　ウ

　リスクの特質を理解し、リスクレベルを決定するプロセス

　エ

　リスクの発見、認識及び記述を行うプロセス

答え　イ

【解説】

ア	対策を講じることによって、リスクを修正するプロセスは、リスク対応です。
イ	リスクとその大きさが受容可能か否かを決定するために、リスク分析の結果をリスク基準と比較するプロセスは、リスク評価です。
ウ	リスクの特質を理解し、リスクレベルを決定するプロセスは、リスク分析です。
エ	リスクの発見、認識及び記述を行うプロセスは、リスク特性です。

リスク特性、リスク分析、リスク評価を行うプロセス全体をリスクアセスメントと呼びます。

【キーワード】
・JIS Q 27000

キーワードの解説

JIS Q 27000(情報セキュリティマネジメントシステム用語)
ISMS(Information Security Management System、情報セキュリティマネジメントシステム)ファミリー規格の概要で各規格において使用される用語等について規定した規格になります。
JIS Q 27000規格群には、

JIS Q 27001　情報セキュリティマネジメントシステム要求事項
JIS Q 27002　情報セキュリティ管理策の実践のための規範
JIS Q 27006　情報セキュリティマネジメントシステムの審査及び認証を行う機関に対する要求事項
JIS Q 27014　情報セキュリティガバナンス

があります。

平成30年 春期 情報セキュリティマネジメント 午前 問3

平成30年春期情報セキュリティマネジメント午前問3