2012 春 午前II 問06

JISQ27001:2006における情報システムのリスクとその評価に関する記述のうち、 適切なものはどれか。

解説

IPA 公式公開の過去問です。

解答例や採点講評と合わせて根拠を確認してください。

選択肢

• ア: 脅威とは、 脆必が頭在化する源のことであり」 情報システムに組み込まれた技術的管理策によって脅威のレベルと発生の可能性が決まる。
• イ: 脆弱性とは、 情報システムに対して悪い影響を与える要因のことであり、 自然災害、 システム障害、 人狗的過失及び不正行為に大別される。
• ウ: リスクの特定では、 脅威が管理策の脆弱性に付け込むひことによって情報資産に与える影響を特定する。
• エ: リスク評価では、 リスク回避とリスク低減の二つに評価を分類し、 リスクの大きさを判断して対策を決める。