ISMSにおける情報セキュリティリスクアセスメントでは、リスクの特定、分析及び評価を行う。リスクの評価で行うものだけを全て挙げたものはどれか。
- あらかじめ定めた基準によって、分析したリスクの優先順位付けを行う。
- 保護すべき情報資産の取扱いにおいて存在するリスクを洗い出す。
- リスクが顕在化したときに、対応を実施するかどうかを判断するための基準を定める。
ア a
イ a、b
ウ b
エ c
解説を読む
正解:ア
解説:
リスクアセスメントとは情報資産に対してどのようなリスクが存在し、それぞれのリスクがどのような影響を持つかを分析し対応策に繋げる考え方です。リスクの特定では現存するリスクの洗い出しを行います。リスク分析ではそれぞれのリスクの発生確率や影響度を分析します。評価では分析結果を元にどのような対策を取るかを決定します。
a.リスク対応の優先順位を付ける作業はリスク評価で行います。
b.リスクの洗い出しはリスク特定で行います。
c.リスク対応の基準はリスク分析で行います。
したがってaのみがリスク評価で行う作業となりますのでアが正解です。
解説を閉じる
コメント