HOME»情報セキュリティスペシャリスト平成24年春期»午前U 問6
情報セキュリティスペシャリスト平成24年春期 午前U 問6
午前U 問6
JIS Q 27001:2006における情報システムのリスクとその評価に関する記述のうち,適切なものはどれか。
- [この問題の出題歴]
- 情報セキュリティ H22秋期 問5
- 情報セキュリティ H20春期 問49
分類
テクノロジ系 » セキュリティ » 情報セキュリティ管理
正解
ウ
解説
- 脅威とは、情報システムに悪い影響を与える要因です。
- 脆弱性とは、組織や情報システムに内在する欠点や弱点です。
- 正しい。リスクの特定は、リストアップされた脅威と脆弱性の関連性を分析し、リスクを洗い出す作業です。
- リスク評価は、リスクが顕在化した場合の損害の大きさ、およびその発生確率などの情報をもとにリスクの大きさ(強度)を決定する作業です。また、リスク評価には「定量的評価」「定性的評価」の2つの評価方法があります。
記述にあるリスクへの対策を決定する作業はリスク対応になります。