セキュリティ

ITパスポート試験情報セキュリティ管理」の問題

テクノロジ系セキュリティ難易度:hard
情報セキュリティのリスクマネジメントにおいて,リスク移転,リスク回避,リスク低減,リスク保有などが分類に用いられることがある。これらに関する記述として,適切なものはどれか。
リスク対応において,リスクへの対応策を分類したものであり,リスクの顕在化に備えて保険を掛けることは,リスク移転に分類される。
リスク特定において,保有資産の使用目的を分類したものであり,マルウェア対策ソフトのような情報セキュリティ対策で使用される資産は,リスク低減に分類される。
リスク評価において,リスクの評価方法を分類したものであり,管理対象の資産がもつリスクについて,それを回避することが可能かどうかで評価することは,リスク回避に分類される。
リスク分析において,リスクの分析手法を分類したものであり,管理対象の資産がもつ脆弱性を客観的な数値で表す手法は,リスク保有に分類される。
正解
リスク対応において,リスクへの対応策を分類したものであり,リスクの顕在化に備えて保険を掛けることは,リスク移転に分類される。

リスク移転とは、リスクが顕在化した際の損失負担を保険・契約・アウトソーシングなどにより第三者へ転嫁する対応策である。保険は最も典型的なリスク移転の手段であり、自組織がリスクを抱えたまま発生した損害を保険会社に補填させる仕組みである。選択肢アの記述(リスク対応における保険=リスク移転)はこれに正確に対応している。

?選択肢ごとの解説

ア ○リスク移転とは、リスクが顕在化した際の損失負担を保険・契約・アウトソーシングなどにより第三者へ転嫁する対応策である。保険は最も典型的なリスク移転の手段であり、自組織がリスクを抱えたまま発生した損害を保険会社に補填させる仕組みである。選択肢アの記述(リスク対応における保険=リスク移転)はこれに正確に対応している。
イ ×「リスク特定」とはリスクを洗い出すプロセスであり、「資産の使用目的の分類」ではない。マルウェア対策ソフトは脅威に対する軽減策(リスク低減)の手段の一つであるが、…
ウ ×「リスク評価」は特定・分析されたリスクの重大性を判断するプロセスであり、「回避可能かどうかで評価する」というのはリスク評価の定義ではない。リスク回避は「そのリス…
エ ×「リスク分析」においてリスクを数値化する手法を定量的分析といい、リスク保有とは関係がない。リスク保有は「リスクを認識した上で許容範囲として受け入れ、特段の対策を…
この問題の「深掘り・誤答の完全解説・試験のコツ・覚え方」はアプリで。

ITパスポート試験の全問を、一問ごとにAIの8-ways解説つきで。SRS暗記カード・全真模試・弱点診断まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · ITパスポート試験 · itpass-r3k-q99

【ITパスポート試験】情報セキュリティ管理の問題と解答・解説|ukamiru 過去問