ITパスポート講座
★ 猫本 5-04 リスクマネジメント(その2) ★
ITパスポート 平成30年度秋期 問78
情報セキュリティ対策において,情報を保護レベルによって分類して管理するとき,管理方法として,適切なものだけを全て挙げたものはどれか。
| a. | 情報に付与した保護レベルは,廃棄するまで変更しない。 |
| b. | 情報の取扱い手順は,保護レベルごとに定める。 |
| c. | 情報の保護レベルは,組織が作成した基準によって決める。 |
| d. | 保護レベルで管理する対象は,電子データとそれを保存した保存媒体に限定する。 |
| ア | a,c |
| イ | a,d |
| ウ | b,c |
| エ | b,d |
解説
| a. | 情報に付与した保護レベルは,重要度や内外の状況に応じて定期的に見直す。 |
| b. | 情報の取扱い手順は,保護レベルごとに定める。 |
| c. | 情報の保護レベルは,組織が作成した基準によって決める。 |
| d. | 保護レベルで管理する対象は,電子データとそれを保存した保存媒体だけでなく,紙媒体のデータも対象である。 |
よって,ウである。
解答
ウ
ITパスポート 平成30年度秋期 問99
ISMSにおける情報セキュリティリスクアセスメントでは,リスクの特定,分析及び評価を行う。リスクの評価で行うものだけを全て挙げたものはどれか。
| a. | あらかじめ定めた基準によって,分析したリスクの優先順位付けを行う。 |
| b. | 保護すべき情報資産の取扱いにおいて存在するリスクを洗い出す。 |
| c. | リスクが顕在化したときに,対応を実施するかどうかを判断するための基準を定める。 |
| ア | a |
| イ | a,b |
| ウ | b |
| エ | c |
解説
(頭の準備体操)
リスク特定:「リスクとなる要因を特定する。」(IP03.1.91)
リスク分析:「脅威や脆弱性などを使ってリスクレベルを決定する。」(IP03.1.91)
リスク評価:「リスクについて対応する優先順位を決定する。」(IP03.1.91)
リスク対応:「リスクに対してどのように対応するかを決定する。」(IP03.1.91)
| a. | リスク評価 |
| b. | リスク特定 |
| c. | 基準は,リスク特定の前に定めておく。 |
よって,アである。
解答
ア
ITパスポート 平成30年度春期 問70
ISMSにおけるリスク分析に関する記述として,適切なものはどれか。
| ア | 異なる情報資産について,脅威と脆弱性のレベルが同じであれば,その資産価値が小さいほどリスク値は大きくなる。 |
| イ | システムの規模や重要度にかかわらず,全てのリスクを詳細に分析しなければならない。 |
| ウ | 電子データは分析の対象とするが,紙媒体のデータは対象としない。 |
| エ | リスクの内容は業界や業種によって異なることから,対象とする組織に適した分析手法を用いる。 |
解説
(頭の準備体操)
リスク分析:「脅威や脆弱性などを使ってリスクレベルを決定する。」(IP03.1.91)
| ア | 異なる情報資産について,脅威と脆弱性のレベルが同じであれば,その資産価値が小さいほどリスク値は小さくなる。 |
| イ | システムの規模や重要度などを考慮して,リスクを分析する。 |
| ウ | 紙媒体のデータも分析の対象とする。 |
| エ | リスクの内容は業界や業種によって異なることから,対象とする組織に適した分析手法を用いる。(正解) |
解答 エ
ITパスポート 平成31年度春期 問68
資産A~Dの資産価値,脅威及び脆弱性の評価値が表のとおりであるとき,最優先でリスク対応するべきと評価される資産はどれか。ここで,リスク値は,表の各項目を重み付けせずに掛け合わせることによって算出した値とする。
| ア | 資産A |
| イ | 資産B |
| ウ | 資産C |
| エ | 資産D |
解説
「リスク値は,表の各項目を重み付けせずに掛け合わせることによって算出した値とする。」
| ア | 5×2×3=30(正解) |
| イ | 6×1×2=12 |
| ウ | 2×2×5=20 |
| エ | 1×5×3=15 |
解答
ア