予想問題vol.9 問9
問9
JIS Q 27001:2006における情報システムのリスクとその評価に関する記述のうち,適切なものはどれか。
- 脅威とは,脆弱性が顕在化する源のことであり,情報システムに組み込まれた技術的管理策によって脅威のレベルと発生の可能性が決まる。
- 脆弱性とは,情報システムに対して悪い影響を与える要因のことであり,自然災害,システム障害,人為的過失及び不正行為に大別される。
- リスクの特定では,脅威が管理策の脆弱性に付け込むことによって情報資産に与える影響を特定する。
- リスク評価では,リスク回避とリスク低減の二つに評価を分類し,リスクの大きさを判断して対策を決める。
- [出典]
- 情報セキュリティ H24春期 問6
分類
テクノロジ系 » セキュリティ » 情報セキュリティ管理
正解
ウ
解説
- 脅威とは、情報システムに悪い影響を与える要因です。
- 脆弱性とは、組織や情報システムに内在する欠点や弱点です。
- 正しい。リスクの特定は、リストアップされた脅威と脆弱性の関連性を分析し、リスクを洗い出す作業です。
- リスク評価は、リスクが顕在化した場合の損害の大きさ、およびその発生確率などの情報をもとにリスクの大きさ(強度)を決定する作業です。また、リスク評価には「定量的評価」「定性的評価」の2つの評価方法があります。
記述にあるリスクへの対策を決定する作業はリスク対応になります。