2010 秋 午前II 問05

JISQ27001:2006における情報システムのリスクとその評価に関する記述のうち、 適切なものはどれか。

解説

IPA 公式公開の過去問です。

解答例や採点講評と合わせて根拠を確認してください。

選択肢

• ア: 脅威とは、 施馬性が頭在化する確率のことであり、 情報システムに組み込まれた技術的管理策によって決まる。
• イ: 脆弱性とは、 情報システムに対して悪い影響を与える要因のことであり、 自然災害. システム障害、 人為的過失及び不正行為に大別される。
• ウ: リスクの特定では、 脅威が情報資産の脆弱性に付け込み、 情報資産に与える影響を特定する。
• エ: リスク評価では、 リスク回避とリスク低減の二つに評価を分類し、 リスクの大きさを判断して対策を決める。