基本情報技術者講座
★ 猫本 8-01 情報セキュリティ管理(その2) ★
基本情報技術者 平成29年度秋期 問43
リスクアセスメントを構成するプロセスの組合せはどれか。
| ア | リスク特定,リスク評価,リスク受容 |
| イ | リスク特定,リスク分析,リスク評価 |
| ウ | リスク分析,リスク対応,リスク受容 |
| エ | リスク分析,リスク評価,リスク対応 |
解説
(イメージから解く)
※リスク対応は,リスクアセスメントに含まれないので注意!
よって,イである。
解答
イ
基本情報技術者 平成31年春期 問41
JIS Q 27000:2014(情報セキュリティマネジメントシステム-用語)における"リスクレベル"の定義はどれか。
| ア | 脅威によって付け込まれる可能性のある,資産又は管理策の弱点 |
| イ | 結果とその起こりやすさの組合せとして表現される,リスクの大きさ |
| ウ | 対応すべきリスクに付与する優先順位 |
| エ | リスクの重大性を評価するために目安とする条件 |
解説
(頭の準備体操)
リスクレベル:リスクの大きさ。資産価値・脅威・脆弱性の大きさで決まる。
| ア | 脆弱性の定義 |
| イ | リスクレベルの定義(正解) |
| ウ | 優先順位は,リスクレベルの定義ではない。 |
| エ | リスク基準の定義 |
解答
イ
基本情報技術者 平成31年春期 問40
リスク対応のうち,リスクファイナンシングに該当するものはどれか。
| ア | システムが被害を受けるリスクを想定して,保険を掛ける。 |
| イ | システムの被害につながるリスクの顕在化を抑える対策に資金を投入する。 |
| ウ | リスクが大きいと評価されたシステムを廃止し,新たなセキュアなシステムの構築に資金を投入する。 |
| エ | リスクが顕在化した場合のシステムの被害を小さくする設備に資金を投入する。 |
解説
(頭の準備体操)
リスクコントロール:リスクの発生確率や大きさを小さくする。リスク低減,リスク回避
リスクファイナンシング:損失を補てんするために金銭的な手当をする。リスク移転(損害に備え第三者の保険に加入),リスク保有(損害を自らが負担)
| ア | リスクファイナンシング(正解) |
| イ | リスクコントロール |
| ウ | リスクコントロール |
| エ | リスクコントロール |
解答
ア