平成30年春期試験問題 午前問3

JIS Q 27000:2014(情報セキュリティマネジメントシステム-用語)におけるリスク評価についての説明として,適切なものはどれか。

  • 対策を講じることによって,リスクを修正するプロセス
  • リスクとその大きさが受容可能か否かを決定するために,リスク分析の結果をリスク基準と比較するプロセス
  • リスクの特質を理解し,リスクレベルを決定するプロセス
  • リスクの発見,認識及び記述を行うプロセス
正解 問題へ
分野:テクノロジ系
中分類:セキュリティ
小分類:情報セキュリティ管理
解説
リスク評価は、リスク分析の成果およびリスク基準に基づき、どのリスクへの対応が必要か、対応の実践の優先順位はどうするかについて意思決定を行うプロセスです。

JIS Q 27000:2014では、リスク評価を以下のように定義しています。

「リスク及び/又はその大きさが,受容可能か又は許容可能かを決定するために,リスク分析の結果をリスク基準と比較するプロセス」

したがって「イ」が正解です。
  • リスク対応の説明です。
  • 正しい。リスク評価の説明です。
  • リスク分析の説明です。
  • リスク特定の説明です。

Pagetop