過去問.com - 資格試験の過去問 | 予想問題の解説つき無料問題集
アンケートはこちら

中小企業診断士の過去問 平成27年度(2015年) 経営情報システム 問22

問題

このページは問題閲覧ページです。正解率や解答履歴を残すには、 「条件を設定して出題する」をご利用ください。
[ 設定等 ]
一般財団法人日本情報経済社会推進協会のISMSユーザーズガイド(リスクマネジメント編)などが、情報セキュリティリスクアセスメントを実施するためのアプローチとして、ベースラインアプローチ、非形式的アプローチ、詳細リスク分析、組み合わせアプローチの4つを紹介している。これらのアプローチに関する記述として最も適切なものはどれか。
   1 .
ベースラインアプローチとは、システムの最も基本的な部分を選び、これに確保すべき一定のセキュリティレベルを設定して、現状とのギャップをリスクとして評価することを指す。
   2 .
非形式的アプローチとは、組織や担当者の経験や判断によってリスクを評価することを指す。
   3 .
詳細リスク分析とは、システムをサブシステムに分解し、そのシステムごとにリスク評価を行うことを指す。
   4 .
組み合わせアプローチとは、システムをサブシステムに分解し、その組み合わせすべてについてリスク評価を行うことを指す。
( 中小企業診断士試験 第1次試験 経営情報システム 平成27年度(2015年) 問22 )
訂正依頼・報告はこちら
このページは問題閲覧ページの為、解答履歴が残りません。
解答履歴を残すには、
条件を設定して出題する」をご利用ください。

この過去問の解説 (2件)

7
1.✕:一般の情報セキュリティに関する基準などを参照に、共通のセキュリティ対策を実施する手法のため誤りです。
2.◯:正解です。記述の通りです。
3.✕:資産ごとに行います。
4.✕:ベースラインアプローチと詳細リスク分析を併用する手法のため誤りです。

この解説の修正を提案する
付箋メモを残すことが出来ます。
次の問題は下へ
1

情報セキュリティリスクアセスメントとは、組織が抱える情報セキュリティリスクの分析と脆弱性の特定、リスクの評価、許容の可否を判断することです。

ISMSで定められているリスクアセスメントの手法を問われている問題です。

各選択肢をそれぞれ解説します。

選択肢1. ベースラインアプローチとは、システムの最も基本的な部分を選び、これに確保すべき一定のセキュリティレベルを設定して、現状とのギャップをリスクとして評価することを指す。

ベースラインアプローチとは、あらかじめ一定の確保すべきセキュリティレベル(ベースライン)を設定して、実装するのに必要な対策を選択して、対象となるシステムに一律に適用することを指します。

そのため本選択肢は不正解です。

選択肢2. 非形式的アプローチとは、組織や担当者の経験や判断によってリスクを評価することを指す。

非形式的アプローチの説明として適切なため、本選択肢が正解です。

選択肢3. 詳細リスク分析とは、システムをサブシステムに分解し、そのシステムごとにリスク評価を行うことを指す。

詳細リスク分析とは、システムの詳細なリスクアセスメントを実行するアプローチのことです。

対象の資産に対して、「資産価値」、「脅威」、「脆弱性」やセキュリティ要件を設定して評価することです。

そのため本選択肢は不正解です。

選択肢4. 組み合わせアプローチとは、システムをサブシステムに分解し、その組み合わせすべてについてリスク評価を行うことを指す。

組み合わせはアプローチとは、複数のアプローチを併用して、それぞれのアプローチの長所を生かし、短所を補完することです。

そのため本選択肢は不正解です。

まとめ

情報セキュリティは注目が高い重要な論点ですので、ニュースなどで情報収集し、対応できるように学習をすすめましょう。

この解説の修正を提案する
問題に解答すると、解説が表示されます。
解説が空白の場合は、広告ブロック機能を無効にしてください。
< 前の問題(問21)
平成27年度(2015年)問題一覧
次の問題(問23)>
他のページから戻ってきた時、過去問ドットコムはいつでも続きから始めることが出来ます。
また、広告右上の×ボタンを押すと広告の設定が変更できます。
この中小企業診断士 過去問のURLは  です。
< 前の問題(問21)       次の問題(問23)>
付箋は自分だけが見れます(非公開です)。