セキュリティ
ITパスポート試験「情報セキュリティ管理」の問題
次の作業a~dのうち,リスクマネジメントにおける,リスクアセスメントに含まれるものだけを全て挙げたものはどれか。脅威や脆弱性などを使ってリスクレベルを決定する。リスクとなる要因を特定する。リスクに対してどのように対応するかを決定する。リスクについて対応する優先順位を決定する。
アa,b
イa,b,d
ウa,c,d
エc,d
正解
イ.a,b,d
ISO/IEC 27005が定めるリスクアセスメントの構成要素は「リスク特定・リスク分析・リスク評価」の3段階である。作業bの「リスクとなる要因を特定する」はリスク特定、作業aの「脅威や脆弱性を使ってリスクレベルを決定する」はリスク分析、作業dの「対応する優先順位を決定する」はリスク評価に対応する。作業cの「リスクに対してどのように対応するかを決定する」はリスク対応であり、アセスメントの後続プロセスに属するため含まれない。
?選択肢ごとの解説
ア ×a,bだけではリスク評価(優先順位の決定=d)が抜けており、アセスメントの3段階を完結させていないため不完全である。
イ ○ISO/IEC 27005が定めるリスクアセスメントの構成要素は「リスク特定・リスク分析・リスク評価」の3段階である。作業bの「リスクとなる要因を特定する」はリスク特定、作業aの「脅威や脆弱性を使ってリスクレベルを決定する」はリスク分析、作業dの「対応する優先順位を決定する」はリスク評価に対応する。作業cの「リスクに対してどのように対応するかを決定する」はリスク対応であり、アセスメントの後続プロセスに属するため含まれない。
ウ ×a,c,dはリスク対応(c)を含んでおり、cはアセスメントの外側のプロセスであるため誤りである。
エ ×c,dの組合せはリスク分析(a)とリスク特定(b)を欠き、かつリスク対応(c)を誤ってアセスメントに含めているため誤りである。
セキュリティの他の問題
PC内のファイルを暗号化して使用不能にし,復号するためのキーと引換えに金品を要求するソフトウェアを何と呼ぶか。ISMSにおける情報セキュリティリスクの取扱いに関する"リスク及び機会に対処する活動"には,リスク対応,リスク評価,リスク分…コンピュータなどのアカウントに設定するパスワードに関し,使用する文字種や長さなどの条件を定めたものはどれか。人の心理的な隙や不注意に付け込んで機密情報などを不正に入手する手法はどれか。公開鍵暗号方式と共通鍵暗号方式において,共通鍵暗号方式だけがもつ特徴として,適切なものはどれか。全社を適用範囲としてISMSを導入する場合の情報セキュリティ方針に関する記述のうち,適切なものはどれか。
この問題の「深掘り・誤答の完全解説・試験のコツ・覚え方」はアプリで。
無料ではじめる →ITパスポート試験の全問を、一問ごとにAIの8-ways解説つきで。SRS暗記カード・全真模試・弱点診断まで。まずは無料で。
ukamiru 過去問 · ITパスポート試験 · itpass-r3k-q91
