セキュリティ

ITパスポート試験情報セキュリティ管理」の問題

テクノロジ系セキュリティ難易度:hard
次の作業a~dのうち,リスクマネジメントにおける,リスクアセスメントに含まれるものだけを全て挙げたものはどれか。脅威や脆弱性などを使ってリスクレベルを決定する。リスクとなる要因を特定する。リスクに対してどのように対応するかを決定する。リスクについて対応する優先順位を決定する。
a,b
a,b,d
a,c,d
c,d
正解
a,b,d

ISO/IEC 27005が定めるリスクアセスメントの構成要素は「リスク特定・リスク分析・リスク評価」の3段階である。作業bの「リスクとなる要因を特定する」はリスク特定、作業aの「脅威や脆弱性を使ってリスクレベルを決定する」はリスク分析、作業dの「対応する優先順位を決定する」はリスク評価に対応する。作業cの「リスクに対してどのように対応するかを決定する」はリスク対応であり、アセスメントの後続プロセスに属するため含まれない。

?選択肢ごとの解説

ア ×a,bだけではリスク評価(優先順位の決定=d)が抜けており、アセスメントの3段階を完結させていないため不完全である。
イ ○ISO/IEC 27005が定めるリスクアセスメントの構成要素は「リスク特定・リスク分析・リスク評価」の3段階である。作業bの「リスクとなる要因を特定する」はリスク特定、作業aの「脅威や脆弱性を使ってリスクレベルを決定する」はリスク分析、作業dの「対応する優先順位を決定する」はリスク評価に対応する。作業cの「リスクに対してどのように対応するかを決定する」はリスク対応であり、アセスメントの後続プロセスに属するため含まれない。
ウ ×a,c,dはリスク対応(c)を含んでおり、cはアセスメントの外側のプロセスであるため誤りである。
エ ×c,dの組合せはリスク分析(a)とリスク特定(b)を欠き、かつリスク対応(c)を誤ってアセスメントに含めているため誤りである。
この問題の「深掘り・誤答の完全解説・試験のコツ・覚え方」はアプリで。

ITパスポート試験の全問を、一問ごとにAIの8-ways解説つきで。SRS暗記カード・全真模試・弱点診断まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · ITパスポート試験 · itpass-r3k-q91

【ITパスポート試験】情報セキュリティ管理の問題と解答・解説|ukamiru 過去問