セキュリティ

ITパスポート試験情報セキュリティ管理」の問題

テクノロジ系セキュリティ難易度:hard
ISMSにおける情報セキュリティリスクアセスメントでは,リスクの特定,分析及び評価を行う。リスクの評価で行うものだけを全て挙げたものはどれか。あらかじめ定めた基準によって,分析したリスクの優先順位付けを行う。保護すべき情報資産の取扱いにおいて存在するリスクを洗い出す。リスクが顕在化したときに,対応を実施するかどうかを判断するための基準を定める。
a
a,b
b
c
正解
a

ISO/IEC 27001に基づくISMSのリスクアセスメントは「特定→分析→評価」の3段階で構成される。「評価」フェーズでは、分析で得たリスクレベルをあらかじめ定めたリスク受容基準と比較し、対応の優先順位を決定する。選択肢aの「基準によって優先順位付けを行う」がまさにこの評価工程の本質的行為であるため、aのみを含むアが正解となる。

?選択肢ごとの解説

ア ○ISO/IEC 27001に基づくISMSのリスクアセスメントは「特定→分析→評価」の3段階で構成される。「評価」フェーズでは、分析で得たリスクレベルをあらかじめ定めたリスク受容基準と比較し、対応の優先順位を決定する。選択肢aの「基準によって優先順位付けを行う」がまさにこの評価工程の本質的行為であるため、aのみを含むアが正解となる。
イ ×a・b両方を含んでいるが、bの「保護すべき情報資産のリスクを洗い出す」はリスク特定フェーズの行為であり、評価フェーズには含まれない。
ウ ×bのみを挙げているが、bはリスク特定(identification)に分類され、リスク評価(evaluation)ではない。
エ ×cの「対応を実施するかどうかを判断するための基準を定める」はリスク分析フェーズの作業であり、評価フェーズには含まれない。リスク分析ではリスクが顕在化した場合の損…
この問題の「深掘り・誤答の完全解説・試験のコツ・覚え方」はアプリで。

ITパスポート試験の全問を、一問ごとにAIの8-ways解説つきで。SRS暗記カード・全真模試・弱点診断まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · ITパスポート試験 · itpass-h30a-q99

【ITパスポート試験】情報セキュリティ管理の問題と解答・解説|ukamiru 過去問