HOME»情報セキュリティマネジメント令和元年秋期»午前問3
情報セキュリティマネジメント令和元年秋期 午前問3
問3
JIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)において,リスクを受容するプロセスに求められるものはどれか。
- 受容するリスクについては,リスク所有者が承認すること
- 受容するリスクを監視やレビューの対象外とすること
- リスクの受容は,リスク分析前に行うこと
- リスクを受容するかどうかは,リスク対応後に決定すること
- [出題歴]
- 情報セキュマネ H28春期 問5
分類
テクノロジ系 » セキュリティ » 情報セキュリティ対策
正解
ア
解説
リスク受容は、リスクに対してあえて何の対策も実施しない方策です。一般的には発生頻度が低く損害も小さいリスクや、リスク対策コストがリスクが顕在化したときの損害額を上回る場合などに採用されます。
- 正しい。JIS Q 27001:2014では、リスク対応で実施する事項として「情報セキュリティリスク対応計画及び残留している情報セキュリティリスクの受容について、リスク所有者の承認を得る」と記述されています。
- 新たなリスクが発生したり、既存のリスクの中には変化したり、又はなくなったりするものがあるため、全てのリスクがモニタリングやレビューの対象となります。
- リスクを受容するかは、リスク分析の結果とリスク受容基準に基づいて決定されます。このためリスクの受容が行われるのはリスク分析後です。
- リスクを受容するかは、リスク対応のプロセスで決定されます。