ITパスポート過去問 平成30年度(2018年)問99
ISMSにおける情報セキュリティリスクアセスメントでは,リスクの特定,分析及び評価を行う。リスクの評価で行うものだけを全て挙げたものはどれか。
- a あらかじめ定めた基準によって,分析したリスクの優先順位付けを行う。
- b 保護すべき情報資産の取扱いにおいて存在するリスクを洗い出す。
- c リスクが顕在化したときに,対応を実施するかどうかを判断するための基準を定める。
選択肢
- ア:a
- イ:a,b
- ウ:b
- エ:c
- ア
- イ
- ウ
- エ
正解と解き方・学習ポイント(AI解説)
ISMSの情報セキュリティリスクアセスメントは、リスクの特定、分析、評価の順に実施します。リスクの評価では、分析した結果をあらかじめ定めた基準に照らして、対応の優先順位を決めます。したがって、リスクの評価に当たるのはaだけであり、正解は「ア」です。
Point
この問題は、ISMSの情報セキュリティリスクアセスメントにおける「リスクの特定」「リスクの分析」「リスクの評価」で、それぞれ何を行うのかを区別できるかを確認するものです。
解くために必要な知識
この問題を解くには、ISMSにおけるリスクアセスメントの流れと、各段階で行う作業の違いを理解している必要があります。
用語の整理
| 用語 | 意味 |
|---|---|
| ISMS(情報セキュリティマネジメントシステム) | 組織の情報セキュリティを管理するための仕組みで、ISO/IEC 27001などで規格化されています。 |
| リスクアセスメント | 情報セキュリティリスクについて、特定、分析、評価を行う一連の作業です。 |
| 情報資産 | 保護すべき情報、およびそれを扱うシステム、媒体、設備などの総称です。 |
| リスク基準 | リスクを評価するために、事前に定めておく判断基準です。 |
リスクアセスメントの3段階
| 段階 | 行う内容 | 本問の該当記述 |
|---|---|---|
| リスクの特定 | 情報資産の取扱いにおけるリスクを洗い出します。 | b |
| リスクの分析 | 特定したリスクについて、発生可能性や影響度などを見積もります。 | (本問には直接の記述なし) |
| リスクの評価 | 分析結果をリスク基準と比較し、対応の優先順位付けを行います。 | a |
リスク基準を定める作業の位置付け
リスク基準の策定は、リスクアセスメントを実施する前に行う準備作業とされます。したがって、基準そのものを定める記述(本問のc)は、リスクの評価の作業には含めません。
問題の解法手順
この問題は、a、b、cがそれぞれリスクアセスメントのどの段階の作業かを判別します。
選択肢の記述を段階に対応付ける
| 記述 | 内容 | 該当する段階 | リスクの評価か |
|---|---|---|---|
| a | あらかじめ定めた基準によって、分析したリスクの優先順位付けを行う。 | リスクの評価 | はい |
| b | 保護すべき情報資産の取扱いにおいて存在するリスクを洗い出す。 | リスクの特定 | いいえ |
| c | リスクが顕在化したときに、対応を実施するかどうかを判断するための基準を定める。 | リスク基準の策定(リスクアセスメント前の準備) | いいえ |
結論
リスクの評価に該当するのはaのみなので、aだけを挙げている「ア」が正解です。
選択肢ごとの解説
- ア:正解
aは、分析したリスクをあらかじめ定めた基準で優先順位付けしており、リスク評価で行う内容に該当します。したがって正解です。
- イ:不正解
aはリスク評価ですが、bはリスクを洗い出す内容でありリスク特定に該当します。リスク評価だけを挙げたものではないので誤りです。
- ウ:不正解
bはリスクの洗い出しであり、リスク特定に該当します。リスク評価で行う内容ではないので誤りです。
- エ:不正解
cは評価に用いる基準を定める作業であり、リスク評価そのものの作業ではありません。したがって誤りです。
まとめ
ISMSの情報セキュリティリスクアセスメントは、リスクの特定、分析、評価の順に実施します。リスクの評価では、分析した結果をあらかじめ定めた基準に照らして、対応の優先順位を決めます。したがって、リスクの評価に当たるのはaだけであり、正解は「ア」です。
テクノロジ系 > 技術要素 > セキュリティ
aは、分析したリスクをあらかじめ定めた基準で優先順位付けしており、リスク評価で行う内容に該当します。したがって正解です。
aはリスク評価ですが、bはリスクを洗い出す内容でありリスク特定に該当します。リスク評価だけを挙げたものではないので誤りです。
bはリスクの洗い出しであり、リスク特定に該当します。リスク評価で行う内容ではないので誤りです。
cは評価に用いる基準を定める作業であり、リスク評価そのものの作業ではありません。したがって誤りです。