問題
問88
ISMSのリスクアセスメントにおいて、最初に行うものはどれか。
- リスク対応
- リスク特定
- リスク評価
- リスク分析
[出典:ITパスポート試験 令和3年度 問88]
スポンサーリンク
正解
正解は「イ」です。
解説
ISMS(情報セキュリティマネジメントシステム)のリスクアセスメントにおいて最初に行うのは、「リスクの特定」です。これは、企業や組織が直面する可能性のある情報セキュリティ上のリスクを洗い出し、それらを明確にするプロセスです。
リスクの特定を行うことで、情報資産(データ、システム、ネットワークなど)がどのような脅威にさらされる可能性があるのかを分析することができます。例えば、以下のようなリスクが考えられます。
- 外部からの不正アクセス(サイバー攻撃など)
- 内部関係者による情報漏洩
- システム障害やデータ破損
- 自然災害による機器の損壊
リスクの特定が正しく行われることで、次のリスク分析やリスク評価のステップを適切に進めることができます。
ア(リスクの分析):
リスク分析は、特定したリスクの影響度や発生可能性を評価するプロセスですが、これは最初に行うものではありません。
ウ(リスクの対応):
リスク対応は、特定したリスクに対してどのような対策を講じるかを決定するプロセスであり、リスクの特定の後に行われます。
エ(リスクの特定):
最初に行うべきプロセスとして適切です。
難易度
普通
情報セキュリティのリスク管理に関する基本的な知識が必要ですが、ISMSのプロセスを学んでいれば容易に回答できる問題です。
スポンサーリンク
用語補足
ISMS(情報セキュリティマネジメントシステム):
組織が情報セキュリティを適切に管理するための仕組みであり、リスク管理の手法を含みます。
リスクアセスメント:
情報資産のリスクを特定し、分析・評価を行ったうえで適切な対応策を決定するプロセス。
対策
ISMSのリスクアセスメントプロセスを理解し、リスクの特定・分析・評価・対応の流れを把握することが重要です。試験では、プロセスの順序を意識しながら問題を解くことで、誤答を防ぐことができます。
