平成28年秋期試験問題 午前問8

JIS Q 27000におけるリスク評価はどれか。

  • 対策を講じることによって,リスクを修正するプロセス
  • リスクが受容可能か否かを決定するために,リスク分析の結果をリスク基準と比較するプロセス
  • リスクの特質を理解し,リスクレベルを決定するプロセス
  • リスクの発見,認識及び記述を行うプロセス
正解 問題へ
分野:テクノロジ系
中分類:セキュリティ
小分類:情報セキュリティ管理
解説
JIS Q 27000は、情報セキュリティマネジメントシステムに係る用語を定義したJIS規格です。この中で「リスク評価」は次のように定義されています。

「リスク及び/又はその大きさが,受容可能か又は許容可能かを決定するために,リスク分析の結果をリスク基準と比較するプロセス」

リスク評価の目的は,リスク分析の成果および組織の状況を考慮して確定されたリスク基準に基づき、どのリスクへの対応が必要か、対応の実践の優先順位はどうするかについて意思決定を手助けすることです。したがって「イ」が正解です。
  • リスク対応の説明です。
  • 正しい。リスク評価の説明です。
  • リスク分析の説明です。
  • リスク特定の説明です。
08.png

Pagetop