平成29年度 秋期 ITパスポート試験 公開問題 問57 解説 ISMSリスク対応
ISMSにおける情報セキュリティリスクの取扱いに関する“リスク及び機会に対処する活動”には,リスク対応,リスク評価,リスク分析が含まれる。この活動の流れとして,適切なものはどれか。
- ア リスク対応 → リスク評価 → リスク分析
- イ リスク評価 → リスク分析 → リスク対応
- ウ リスク分析 → リスク対応 → リスク評価
- エ リスク分析 → リスク評価 → リスク対応 ✓ 正答
解説
この問題は、情報セキュリティマネジメントシステム(ISMS)におけるリスクマネジメントの標準的なプロセスを問うものです。ポイントは、まず「何がリスクかを見極め」、次に「それがどれほど深刻かを判断し」、最後に「具体的な対策を打つ」という論理的な流れを理解することです。
情報セキュリティリスクマネジメントのプロセスは、大きく分けて以下の3段階で進みます。
リスク分析 どのような脅威が存在し、それが資産に対してどれくらいのダメージを与える可能性があるかを洗い出し、リスクの大きさを算出する段階です。まずは現状把握が必要です。
リスク評価 分析の結果を基に、そのリスクを許容できるかどうか(対策が必要か)を判断する段階です。分析した数字を基準と照らし合わせ、優先順位付けを行います。
リスク対応 評価の結果に基づき、リスクを低減させる、回避する、移転する、保有するといった具体的なアクションを選択・実行する段階です。対策を決定し、実行に移します。
この流れは、ITパスポートだけでなく、より上位の試験や実務の現場でも共通の考え方です。たとえば、企業のセキュリティ担当者が「情報漏えいのリスクがある」と見つけたとき、いきなり高額なシステムを導入(リスク対応)することはありません。まずは「どのサーバーから」「どんな情報が」「どれくらいの確率で」漏れるかを分析し、そのリスクが会社にとって許容範囲を超えているかを確認してから、必要な対策を検討します。
本番の試験では、この順序を入れ替えた選択肢が必ず出題されます。「分析(データ収集)→評価(判断)→対応(行動)」という仕事の基本プロセスと重ね合わせると、記憶に定着しやすくなります。
学習の記録にははてなブックマーク!
気づいたこと・覚えたことをコメントにメモしよう
