やさしいネットワークとセキュリティ

ネットワーク・セキュリティエンジニアの視点から各種テクノロジーと資格試験対策をやさしく解説します。

情報セキュリティマネジメント【リスクマネジメント】Ver.2

リスクマネジメント

 リスクとは、情報資産に対する脅威と脆弱性により発生するもので、その危険度によりメリハリのある投資を行うことで、効率的なセキュリティ管理を行うことができます。

 リスクマネジメントとは、主にリスクの評価を行うリスクアセスメントと、リスクアセスメントによって評価されたリスクに対してどのような対策を講じるかを決めるリスク対応など、一連のプロセスをいいます。

 リスクマネジメントに関する標準規約としてJIS Q 31000があります。JIS Q 31000は、リスクを識別、管理していくためのプロセスと、それを行っていくための組織作りや継続的改善のフレームワークが示されています。

(Ver.2追記)平成29年度 春期 情報セキュリティマネジメント試験 午前

f:id:aolaniengineer:20191102155733p:plain

情報セキュリティマネジメント試験 平成29年度 春期 午前 問6

 JIS Q 31000:2010(リスクマネジメントー原則及び指針)の5項「プロセス」で「リスクマネジメントプロセスは、以下に記載する活動によって形作られている」としています。

  • コミュニケーション及び協議:外部及び内部のステークホルダとのコミュニケーション及び協議は、リスクマネジメントプロセスのすべての段階で実施することが望ましい。
  • 組織の状況の確定:組織の内外の状況を把握し、リスク管理において考慮する外部・内部の要員を定める。
  • リスク特定:リスク源、影響を受ける領域、事象、原因、結果を特定する。
  • リスク分析:リスクの影響度や発生確率を分析する。
  • リスク評価:リスク分析の結果に基づき、対応するリスクと対応しないリスクの仕分けや、対応の優先順位を決定する。
  • リスク対応:リスクに対応するための各種の方法を選択する。(リスク回避、リスク低減、リスク移転、リスク保有) 
イ リスク特定リスク分析リスク評価リスク対応

 これが正解です。

 

平成29年度 春期 情報セキュリティマネジメント試験 午前

f:id:aolaniengineer:20191102052605p:plain

情報セキュリティマネジメント試験 平成29年度 春期 午前 問5

 JIS Q 31000:2010(リスクマネジメントー原則及び指針)の3項「原則」で「リスクマネジメントを効果的なものにするために、組織は、次の原則を全ての階層で順守することが望ましい」としています。

ア リスクマネジメントは、静的であり、変化が生じたときに終了する。

「J)リスクマネジメントは、動的で、繰り返し行われ、変化に対応する。(後略)」とあり、誤りです。

イ リスクマネジメントは、組織に合わせて作られる。

 これが正解です。

ウ リスクマネジメントは、組織の主要なプロセスから分離した単独の活動である。

 「b)リスクマネジメントは、組織のすべてのプロセスにおいて不可欠な部分である。リスクマネジメントは、組織の主要な活動及びプロセスから切り離された単独の活動ではない(中略)」とあり、誤りです。

エ リスクマネジメントは、リスクが顕在化した場合を対象とする。

 「d)(中略)リスクが顕在化した場合だけでなく、リスクが顕在化するかどうか不確かな状況であっても、対象とすることがある。(中略)」とあり、誤りです。

kikakurui.com