やさしいネットワークとセキュリティ

ネットワーク・セキュリティエンジニアの視点から各種テクノロジーと資格試験対策をやさしく解説します。

情報セキュリティマネジメント【リスクレベル】

リスクレベル(level of risk)

 リスクレベルとは、JIS Q 27000:2014(情報セキュリティマネジメントシステムー用語)では、以下のように説明されています。

  • 結果とその起こりやすさの組み合わせとして表現される、リスクの大きさ(目的に対する不確かさの影響)

 これ以外にも、リスク基準、リスク特定、リスク分析、リスク評価など、リスクに関する様々な用語が説明されています。

kikakurui.com

 

 尚、最新版はJIS Q 27000:2019となっています。

www.kikakurui.com

 

平成29年度 春期 情報セキュリティマネジメント試験 午前 

f:id:aolaniengineer:20191103045119p:plain

情報セキュリティマネジメント試験 平成29年度 春期 午前 問7
ア 脅威によって付け込まれる可能性のある、資産又は管理策の弱点

 脆弱性(vulnerability)の説明です。

イ 結果とその起こりやすさの組合せとして表現される、リスクの大きさ

 これが正解です。

ウ 対応すべきリスクに付与する優先順位

 リスクの優先度の説明です。

エ リスクの重大性を評価するために目安とする条件

 リスク基準(risk criteria)の説明です。