情報 セキュリティ の リスク マネジメント における

2022.08.18 2021.08.26

今回は、リスクマネジメントと情報セキュリティ管理について覚えられる問題です。

さまざまなリスクマネジメントと情報セキュリティ管理を集中して解いて、理解を確実にしましょう。

(1) 令和元年秋 問56

次の作業a～dのうち、リスクマネジメントにおける、リスクアセスメントに含まれるものだけを全て挙げたものはどれか。

a リスク特定

b リスク分析

c リスク評価

d リスク対応

ア ａ、ｂ

イ ａ、ｂ、ｃ

ウ ｂ、ｃ、ｄ

エ ｃ、ｄ

解説

ａ リスク特定：
組織に存在するリスクを洗い出す。（リスクアセスメント）

ｂ リスク分析：
リスクの発生確率と影響度から、リスクの大きさを算定する。（リスクアセスメント）

ｃ リスク評価：
リスクの大きさとリスク受容基準を比較して、対策実施の必要性を判断する。（リスクアセスメント）

ｄ リスク対応：
リスクへの対処方法を選択し、具体的な管理策の計画を立てる。
（ITパスポート 平成29年春 問63より）

よって、正解は イ です。

(2) 令和元年秋 問84

内外に宣言する最上位の情報セキュリティポリシに記載することとして、最も適切なものはどれか。

ア 経営陣が情報セキュリティに取り組む姿勢

イ 情報資産を守るための具体的で詳細な手順

ウ セキュリティ対策に掛ける費用

エ 守る対象とする具体的な個々の情報資産

解説

情報セキュリティポリシは、企業や組織において実施する情報セキュリティ対策の方針や行動指針のことです。

情報セキュリティポリシは、基本方針、対策基準及び実施手順の三つの文書で構成できます。

ア ”経営陣が情報セキュリティに取り組む姿勢”は、基本方針です。

イ ”情報資産を守るための具体的で詳細な手順”は、実施手順の内容です。

ウ ”セキュリティ対策に掛ける費用”は、情報セキュリティポリシの内容でありません。

エ ”守る対象とする具体的な個々の情報資産”は、情報セキュリティポリシの内容でありません。

よって、正解は ア です。

(3) 令和元年秋 問86

情報セキュリティのリスクマネジメントにおけるリスク対応を、リスクの移転、回避、受容及び低減の四つに分類するとき、リスクの低減の例として，適切なものはどれか。

ア インターネット上で，特定利用者に対して、機密に属する情報の提供サービスを行っていたが，情報漏えいのリスクを考慮して、そのサービスから撤退する。

イ 個人情報が漏えいした場合に備えて、保険に加入する。

ウ サーバ室には限られた管理者しか入室できず、機器盗難のリスクは低いので、追加の対策は行わない。

エ ノートPCの紛失、盗難による情報漏えいに備えて、ノートPCのHDDに保存する情報を暗号化する。

解説

ア “サービスから撤退する。”とあるので、リスクの回避です。

イ ”保険に加入する。”とあるので、リスクの移転です。

ウ ”追加の対策は行わない。”とあるので、リスクの受容です。

エ ”情報を暗号化する。”とあるので、リスクの低減です。

よって、正解は エ です。

(4) 令和２年 問68

リスク対応を、移転、回避、低減及び保有に分類するとき、次の対応はどれに分類されるか。

〔対応〕
職場における机上の書類からの情報漏えい対策として、退社時のクリアデスクを導入した。

ア 移転

イ 回避

ウ 低減

エ 保有

解説

クリアデスクは、離席する際に、机の上に書類や記憶媒体などを放置しないことです。

退社時に机上に書類が無ければ、情報漏えいのリスクは減ります。

ただし、業務中のリスクは残ります。

よって、正解は ウ です。

(5) 令和２年 問69

ISMSの確立、実施、維持及び継続的改善における次の実施項目のうち、最初に行うものはどれか。

ア 情報セキュリティリスクアセスメント

イ 情報セキュリティリスク対応

ウ 内部監査

エ 利害関係者のニーズと期待の理解

解説

ISMSは、情報セキュリティマネジメントシステムのことです。

情報の機密性や完全性、可用性を維持し、情報漏えいなどのインシデント（事故）発生を低減させるためのしくみです。

一般に、高い評価（成果）を得るには、求められること（ニーズ、期待）を最初にしっかり把握することが大切です。

よって、正解は エ です。

(6) 令和４年 問76

情報セキュリティのリスクマネジメン卜におけるリスク対応を，リスク回避，リスク共有，リスク低減及びリスク保有の四つに分類するとき，情報漏えい発生時の損害に備えてサイバ一保険に入ることはどれに分類されるか。

ア リスク回避

イ リスク共有

ウ リスク低減

エ リスク保有

解説

”サイバ一保険に入る”は、リスク共有です。

よって、正解は イ です。

(7) 令和４年 問85

情報セキュリティポリシを、基本方針、対策基準、実施手順の三つの文書で構成したとき、これらに関する説明のうち、適切なものはどれか。

ア 基本方針は、対策基準や実施手順を定めるためのトップマネジメントの意思を示したものである。

イ 実施手順は、基本方針と対策基準を定めるために実施した作業の手順を記録したものである。

ウ 対策基準は、ISMSに準拠した情報セキュリティポリシを策定するための文書の基準を示したものである。

エ 対策基準は、情報セキュリティ事故が発生した後の対策を実施手順よりも詳しく記述したものである。

解説

基本方針、対策基準、実施手順の三つのポイントを図にすると、次のようになります。

よって、正解は ア です。

(8) 令和４年 問86

情報セキュリティにおけるリスクアセスメントを、リスク特定、リスク分析、リスク評価の三つのプロセスに分けたとき、リスク分析に関する記述として、最も適切なものはどれか。

ア 受容基準と比較できるように、各リスクのレベルを決定する必要がある。

イ 全ての情報資産を分析の対象にする必要がある。

ウ 特定した全てのリスクについて、同じ分析技法を用いる必要がある。

エ リスクが受容可能かどうかを決定する必要がある。

解説

リスク分析は、リスクの発生確率と影響度から、リスクの大きさを算定することです。

ア “各リスクのレベルを決定する”とあるので、リスク分析です。

イ リスクが特定されたものについてリスク分析します。”すべての情報資産”が対象ではありません。

ウ ”同じ分析技法”に限定せず、複数の技法を使うことで作業を効率よく行うこともできます。

エ ”リスクが受容可能かどうかを決定する”とあるので、リスク評価についての内容です。

よって、正解は ア です。

ここまで、リスクマネジメントと情報セキュリティ管理について覚えられる問題を解説しました。

次回は、ISMS（情報セキュリティマネジメントシステム）の詳細を覚えられる問題です。

さまざまな角度からのISMSの問題を解いて、知識を身に付けましょう。

次は、こちら