JIS Q 27001(情報セキュリティマネジメントシステム−要求事項)において、リスクを受容するプロセスに求められるものはどれか。
ア | 受容するリスクについては、リスク所有者が承認すること |
イ | 受容するリスクの監視やレビューの対象外とすること |
ウ | リスクの受容は、リスク分析前に行うこと |
エ | リスクを受容するかどうかは、リスク対応後に決定すること |
答え ア
【解説】
リスクを受容(保有)は、発生する可能性のあるリスクに対し事前に低減、回避、転嫁(移転)などの対策を行わず、発生するリスクを受け入れることです。
当然ですがリスクを受け入れるので、そのリスクは発生する可能性が低く、リスクによる影響(被害)が小さいもので、その情報システムの責任者(リスク所有者)が受容することを承認したものに限られます。
【キーワード】
・JIS Q 27001