セキュリティ

ITパスポート試験情報セキュリティ管理」の問題

テクノロジ系セキュリティ難易度:hard
ISMSにおけるリスク分析に関する記述として,適切なものはどれか。
異なる情報資産について,脅威と脆弱性のレベルが同じであれば,その資産価値が小さいほどリスク値は大きくなる。
システムの規模や重要度にかかわらず,全てのリスクを詳細に分析しなければならない。
電子データは分析の対象とするが,紙媒体のデータは対象としない。
リスクの内容は業界や業種によって異なることから,対象とする組織に適した分析手法を用いる。
正解
リスクの内容は業界や業種によって異なることから,対象とする組織に適した分析手法を用いる。

ISO/IEC 27001に基づくISMSのリスク分析は、組織が扱う情報の性質・業種規制・脅威環境によってリスクの種類・大きさが異なるため、画一的な手法ではなく組織の実態に合った分析手法(定性的・定量的・ハイブリッド等)を適宜選択することを要求している。

?選択肢ごとの解説

ア ×リスク値は「資産価値 × 脅威 ×…
イ ×ISMSはリスクの重要度に応じてアプローチを変えることが認められており、重要度の低いリスクには簡略化した分析で対応可能である。全リスクに詳細分析を義務付けるコス…
ウ ×ISMSにおける情報資産には電子データだけでなく、紙書類・口頭情報・知識・施設・設備なども含まれる。情報の記録形態に関わらず組織が保護すべき情報はすべてリスク分…
エ ○ISO/IEC 27001に基づくISMSのリスク分析は、組織が扱う情報の性質・業種規制・脅威環境によってリスクの種類・大きさが異なるため、画一的な手法ではなく組織の実態に合った分析手法(定性的・定量的・ハイブリッド等)を適宜選択することを要求している。
この問題の「深掘り・誤答の完全解説・試験のコツ・覚え方」はアプリで。

ITパスポート試験の全問を、一問ごとにAIの8-ways解説つきで。SRS暗記カード・全真模試・弱点診断まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · ITパスポート試験 · itpass-h30h-q70

【ITパスポート試験】情報セキュリティ管理の問題と解答・解説|ukamiru 過去問