【問215】個人情報保護士 練習問題|ISMS管理策
情報セキュリティ 問35/120難易度B(標準)
問題文
ISMSにおけるリスクアセスメントの実施手順として、最も適切なものはどれか。
- 1.管理策の導入→リスク特定→リスク分析→リスク評価
- 2.リスク特定→リスク分析→リスク評価→リスク対応
- 3.リスク分析→リスク特定→リスク対応→リスク評価
- 4.リスク評価→リスク特定→リスク分析→管理策の導入
解説
正解
正解は選択肢2です。
各選択肢の解説
選択肢1 → ❌誤り
管理策の導入はリスクアセスメントの後に行うリスク対応の一部です。順序が誤っています。
選択肢2 → ✅正解
リスクアセスメントは「リスク特定→リスク分析→リスク評価」の順で行い、その結果に基づいてリスク対応を実施します。
選択肢3 → ❌誤り
リスク特定の前にリスク分析を行うことはできません。まずリスクを特定する必要があります。
選択肢4 → ❌誤り
リスク評価はリスク特定・分析の後に行うものであり、最初に行うものではありません。
背景知識
ISO/IEC 27001に基づくISMSでは、リスクマネジメントプロセスが中核となります。リスクアセスメントは、リスク特定(情報資産に対する脅威と脆弱性の洗い出し)、リスク分析(リスクの大きさの算定)、リスク評価(リスク受容基準との比較による優先順位の決定)の3段階で構成されます。リスク評価の結果に基づき、リスク対応(リスク低減、リスク回避、リスク移転、リスク保有)を決定し、必要な管理策を選択・導入します。
学習アドバイス
リスクアセスメントの3段階(特定→分析→評価)とリスク対応の4つの選択肢(低減・回避・移転・保有)をセットで覚えましょう。順序を入れ替えた選択肢に惑わされないようにしましょう。
まとめ
- リスクアセスメントは特定→分析→評価の順で実施
- リスク対応はアセスメント結果に基づいて行う
- リスク対応には低減・回避・移転・保有の4選択肢がある