中小企業診断士の過去問
平成27年度(2015年)
経営情報システム 問22
このページは閲覧用ページです。
履歴を残すには、 「新しく出題する(ここをクリック)」 をご利用ください。
問題
中小企業診断士試験 第1次試験 経営情報システム 平成27年度(2015年) 問22 (訂正依頼・報告はこちら)
一般財団法人日本情報経済社会推進協会のISMSユーザーズガイド(リスクマネジメント編)などが、情報セキュリティリスクアセスメントを実施するためのアプローチとして、ベースラインアプローチ、非形式的アプローチ、詳細リスク分析、組み合わせアプローチの4つを紹介している。これらのアプローチに関する記述として最も適切なものはどれか。
- ベースラインアプローチとは、システムの最も基本的な部分を選び、これに確保すべき一定のセキュリティレベルを設定して、現状とのギャップをリスクとして評価することを指す。
- 非形式的アプローチとは、組織や担当者の経験や判断によってリスクを評価することを指す。
- 詳細リスク分析とは、システムをサブシステムに分解し、そのシステムごとにリスク評価を行うことを指す。
- 組み合わせアプローチとは、システムをサブシステムに分解し、その組み合わせすべてについてリスク評価を行うことを指す。
正解!素晴らしいです
残念...
この過去問の解説 (2件)
01
2.◯:正解です。記述の通りです。
3.✕:資産ごとに行います。
4.✕:ベースラインアプローチと詳細リスク分析を併用する手法のため誤りです。
参考になった数11
この解説の修正を提案する
02
情報セキュリティリスクアセスメントとは、組織が抱える情報セキュリティリスクの分析と脆弱性の特定、リスクの評価、許容の可否を判断することです。
ISMSで定められているリスクアセスメントの手法を問われている問題です。
各選択肢をそれぞれ解説します。
ベースラインアプローチとは、あらかじめ一定の確保すべきセキュリティレベル(ベースライン)を設定して、実装するのに必要な対策を選択して、対象となるシステムに一律に適用することを指します。
そのため本選択肢は不正解です。
非形式的アプローチの説明として適切なため、本選択肢が正解です。
詳細リスク分析とは、システムの詳細なリスクアセスメントを実行するアプローチのことです。
対象の資産に対して、「資産価値」、「脅威」、「脆弱性」やセキュリティ要件を設定して評価することです。
そのため本選択肢は不正解です。
組み合わせはアプローチとは、複数のアプローチを併用して、それぞれのアプローチの長所を生かし、短所を補完することです。
そのため本選択肢は不正解です。
情報セキュリティは注目が高い重要な論点ですので、ニュースなどで情報収集し、対応できるように学習をすすめましょう。
参考になった数4
この解説の修正を提案する
前の問題(問21)へ
平成27年度(2015年)問題一覧
次の問題(問23)へ