ISMS におけるリスク分析に関する記述として,適切なものはどれか。
ア 異なる情報資産について, 脅威と脆弱性のレベルが同じであれば,その資産価値が小さいほどリスク値は大きくなる。
イ システムの規模や重要度にかかわらず, 全てのリスクを詳細に分析しなければならない。
ウ 電子データは分析の対象とするが,紙媒体のデータは対象としない。
エ リスクの内容は業界や業種によって異なることから,対象とする組織に適した分析手法を用いる。
解説を読む
正解:エ
解説:
ISMSはISO27000シリーズで国際規格化された情報セキュリティマネジメントです。ここでのリスクとは情報資産に対しての脅威を意味します。
ア.脅威と脆弱性レベルが同じであれば資産価値が高いほどリスクも高くなります。
イ.リスク評価によって詳細に分析が必要な場合、分析自体を必要としない場合などケースバイケースで判断します。
ウ.例え紙媒体であったとしてもパスワードがメモされていれば「なりすまし」の被害に合うリスクが高まります。
エ.リスク分析は自社に合った内容で行うべきなので正しい説明です。
解説を閉じる
コメント