情報セキュリティマネジメント平成28年秋期 午前問8
問8
JIS Q 27000におけるリスク評価はどれか。
- 対策を講じることによって,リスクを修正するプロセス
- リスクが受容可能か否かを決定するために,リスク分析の結果をリスク基準と比較するプロセス
- リスクの特質を理解し,リスクレベルを決定するプロセス
- リスクの発見,認識及び記述を行うプロセス
分類
テクノロジ系 » セキュリティ » 情報セキュリティ管理
正解
イ
解説
JIS Q 27000は、情報セキュリティマネジメントシステムに係る用語を定義したJIS規格です。この中で「リスク評価」は次のように定義されています。
「リスク及び/又はその大きさが,受容可能か又は許容可能かを決定するために,リスク分析の結果をリスク基準と比較するプロセス」
リスク評価の目的は,リスク分析の成果および組織の状況を考慮して確定されたリスク基準に基づき、どのリスクへの対応が必要か、対応の実践の優先順位はどうするかについて意思決定を手助けすることです。したがって「イ」が正解です。
「リスク及び/又はその大きさが,受容可能か又は許容可能かを決定するために,リスク分析の結果をリスク基準と比較するプロセス」
リスク評価の目的は,リスク分析の成果および組織の状況を考慮して確定されたリスク基準に基づき、どのリスクへの対応が必要か、対応の実践の優先順位はどうするかについて意思決定を手助けすることです。したがって「イ」が正解です。
- リスク対応の説明です。
- 正しい。リスク評価の説明です。
- リスク分析の説明です。
- リスク特定の説明です。