平成28年秋期試験問題 午前問6

情報セキュリティ対策を検討する際の手法の一つであるベースラインアプローチの特徴はどれか。

  • 基準とする望ましい対策と組織の現状における対策とのギャップを分析する。
  • 現場担当者の経験や考え方によって検討結果が左右されやすい。
  • 情報資産ごとにリスクを分析する。
  • 複数のアプローチを併用して分析作業の効率化や分析精度の向上を図る。
正解 問題へ
分野:テクノロジ系
中分類:セキュリティ
小分類:情報セキュリティ管理
解説
ベースラインアプローチは、一般公開されている規格やガイドラインを参考にして、アンケートやチェックリストを作成し、組織の情報セキュリティ対策との差異を分析する手法です。簡便な方法ですが、大まかなチェックしかできず、質問表の品質によって結果が左右されやすい難点もあります。
基準となる規格類は情報セキュリティ管理基準、システム管理基準及び個人情報保護に関するガイドラインなどを目的に応じて選択します。
  • 正しい。ベースラインアプローチの説明です。
  • リスク分析者の知識と経験によって分析を行う「非公式アプローチ」の特徴です。
  • 組織の情報資産、脅威、脆弱性を洗い出し、それらを整理・総合して分析を行う「詳細リスク分析」の特徴です。
  • 組織や分析対象の状況に合わせて幾つかの手法を組み合わせる「組合せアプローチ」の特徴です。

Pagetop