ITパスポート講座
★ 猫本 5-04 リスクマネジメント(その1) ★
ITパスポート 平成28年度秋期 問96
情報セキュリティにおけるリスクマネジメントに関して,次の記述中のa~cに入れる字句の適切な組合せはどれか。
情報セキュリティにおいて,組織がもつ情報資産の【 a 】を突く【 b 】によって,組織が損害を被る可能性のことを【 c 】という。
解説
(頭の準備体操)
脅威 :情報資産に損害を与える要因。物理的脅威,人的脅威,技術的脅威
脆弱性:情報資産や管理策に内在している弱点
リスク:組織が損害を被る可能性
情報セキュリティにおいて,組織がもつ情報資産の【脆弱性】を突く【脅威】によって,組織が損害を被る可能性のことを【リスク】という。
よって,イである。
解答
イ
ITパスポート 平成30年度秋期 問68
情報セキュリティにおけるリスクアセスメントの説明として,適切なものはどれか。
| ア | PCやサーバに侵入したウイルスを,感染拡大のリスクを抑えながら駆除する。 |
| イ | 識別された資産に対するリスクを分析,評価し,基準に照らして対応が必要かどうかを判断する。 |
| ウ | 事前に登録された情報を使って,システムの利用者が本人であることを確認する。 |
| エ | 情報システムの導入に際し,費用対効果を算出する。 |
解説
(頭の準備体操)
リスク特定:「リスクとなる要因を特定する。」(IP03.1.91)
リスク分析:「脅威や脆弱性などを使ってリスクレベルを決定する。」(IP03.1.91)
リスク評価:「リスクについて対応する優先順位を決定する。」(IP03.1.91)
リスク対応:「リスクに対してどのように対応するかを決定する。」(IP03.1.91)
よって,イである。
解答
イ
ITパスポート 令和3年度 問88
ISMSのリスクアセスメントにおいて,最初に行うものはどれか。
| ア | リスク対応 |
| イ | リスク特定 |
| ウ | リスク評価 |
| エ | リスク分析 |
解説
(頭の準備体操)
よって,イである。
解答
イ
ITパスポート 平成29年度秋期 問57
ISMSにおける情報セキュリティリスクの取扱いに関する"リスク及び機会に対処する活動"には,リスク対応,リスク評価,リスク分析が含まれる。この活動の流れとして,適切なものはどれか。
| ア | リスク対応→リスク評価→リスク分析 |
| イ | リスク評価→リスク分析→リスク対応 |
| ウ | リスク分析→リスク対応→リスク評価 |
| エ | リスク分析→リスク評価→リスク対応 |
解説
(頭の準備体操)
よって,エである。
解答
エ
ITパスポート 令和元年度秋期 問56
次の作業a~dのうち,リスクマネジメントにおける,リスクアセスメントに含まれるものだけを全て挙げたものはどれか。
a. リスク特定
b. リスク分析
c. リスク評価
d. リスク対応
| ア | a,b |
| イ | a,b,c |
| ウ | b,c,d |
| エ | c,d |
解説
(頭の準備体操)
よって,イである。
解答
イ
ITパスポート 令和3年度 問91
次の作業a~dのうち,リスクマネジメントにおける,リスクアセスメントに含まれるものだけを全て挙げたものはどれか。
| a. | 脅威や脆弱性などを使ってリスクレベルを決定する。 |
| b. | リスクとなる要因を特定する。 |
| c. | リスクに対してどのように対応するかを決定する。 |
| d. | リスクについて対応する優先順位を決定する。 |
| ア | a,b |
| イ | a,b,d |
| ウ | a,c,d |
| エ | c,d |
解説
(頭の準備体操)
| a. | リスク分析 |
| b. | リスク特定 |
| c. | リスク対応 |
| d. | リスク評価 |
よって,イである。
解答
イ
ITパスポート 令和4年度 問86
情報セキュリティにおけるリスクアセスメントを,リスク特定,リスク分析,リスク評価の三つのプロセスに分けたとき,リスク分析に関する記述として,最も適切なものはどれか。
| ア | 受容基準と比較できるように,各リスクのレベルを決定する必要がある。 |
| イ | 全ての情報資産を分析の対象にする必要がある。 |
| ウ | 特定した全てのリスクについて,同じ分析技法を用いる必要がある。 |
| エ | リスクが受容可能かどうかを決定する必要がある。 |
解説
(頭の準備体操)
リスク特定:「リスクとなる要因を特定する。」(IP03.1.91)
リスク分析:「脅威や脆弱性などを使ってリスクレベルを決定する。」(IP03.1.91)
リスク評価:「リスクについて対応する優先順位を決定する。」(IP03.1.91)
リスク対応:「リスクに対してどのように対応するかを決定する。」(IP03.1.91)
| ア | 受容基準と比較できるように,各リスクのレベルを決定する必要がある。(リスク分析)(正解) |
| イ | 分析対象となる情報資産を洗い出す必要がある(全ての情報資産を分析の対象とするのではない)。(リスク特定) |
| ウ | 特定したリスクに応じて,分析技法を用いる必要がある。(リスク分析) |
| エ | リスクが受容可能かどうかを決定する必要がある。(リスク対応) |
解答
ア