セキュリティ
ITパスポート試験「情報セキュリティ管理」の問題
情報セキュリティのリスクマネジメントにおいて,リスク移転,リスク回避,リスク低減,リスク保有などが分類に用いられることがある。これらに関する記述として,適切なものはどれか。
アリスク対応において,リスクへの対応策を分類したものであり,リスクの顕在化に備えて保険を掛けることは,リスク移転に分類される。
イリスク特定において,保有資産の使用目的を分類したものであり,マルウェア対策ソフトのような情報セキュリティ対策で使用される資産は,リスク低減に分類される。
ウリスク評価において,リスクの評価方法を分類したものであり,管理対象の資産がもつリスクについて,それを回避することが可能かどうかで評価することは,リスク回避に分類される。
エリスク分析において,リスクの分析手法を分類したものであり,管理対象の資産がもつ脆弱性を客観的な数値で表す手法は,リスク保有に分類される。
正解
ア.リスク対応において,リスクへの対応策を分類したものであり,リスクの顕在化に備えて保険を掛けることは,リスク移転に分類される。
リスク移転とは、リスクが顕在化した際の損失負担を保険・契約・アウトソーシングなどにより第三者へ転嫁する対応策である。保険は最も典型的なリスク移転の手段であり、自組織がリスクを抱えたまま発生した損害を保険会社に補填させる仕組みである。選択肢アの記述(リスク対応における保険=リスク移転)はこれに正確に対応している。
?選択肢ごとの解説
ア ○リスク移転とは、リスクが顕在化した際の損失負担を保険・契約・アウトソーシングなどにより第三者へ転嫁する対応策である。保険は最も典型的なリスク移転の手段であり、自組織がリスクを抱えたまま発生した損害を保険会社に補填させる仕組みである。選択肢アの記述(リスク対応における保険=リスク移転)はこれに正確に対応している。
イ ×「リスク特定」とはリスクを洗い出すプロセスであり、「資産の使用目的の分類」ではない。マルウェア対策ソフトは脅威に対する軽減策(リスク低減)の手段の一つであるが、…
ウ ×「リスク評価」は特定・分析されたリスクの重大性を判断するプロセスであり、「回避可能かどうかで評価する」というのはリスク評価の定義ではない。リスク回避は「そのリス…
エ ×「リスク分析」においてリスクを数値化する手法を定量的分析といい、リスク保有とは関係がない。リスク保有は「リスクを認識した上で許容範囲として受け入れ、特段の対策を…
セキュリティの他の問題
PC内のファイルを暗号化して使用不能にし,復号するためのキーと引換えに金品を要求するソフトウェアを何と呼ぶか。ISMSにおける情報セキュリティリスクの取扱いに関する"リスク及び機会に対処する活動"には,リスク対応,リスク評価,リスク分…コンピュータなどのアカウントに設定するパスワードに関し,使用する文字種や長さなどの条件を定めたものはどれか。人の心理的な隙や不注意に付け込んで機密情報などを不正に入手する手法はどれか。公開鍵暗号方式と共通鍵暗号方式において,共通鍵暗号方式だけがもつ特徴として,適切なものはどれか。全社を適用範囲としてISMSを導入する場合の情報セキュリティ方針に関する記述のうち,適切なものはどれか。
この問題の「深掘り・誤答の完全解説・試験のコツ・覚え方」はアプリで。
無料ではじめる →ITパスポート試験の全問を、一問ごとにAIの8-ways解説つきで。SRS暗記カード・全真模試・弱点診断まで。まずは無料で。
ukamiru 過去問 · ITパスポート試験 · itpass-r3k-q99
