Home > 問41~問60(対策) > 第17回-問題45

第17回-問題45

以下のTR X0036「ITセキュリティマネジメントのガイドライン」(GMITS)におけるリスク分析手法の説明において、該当するものを、ア~エで答えなさい。

組織内の個々の情報資産に対して、資産価値や管理体制を調査し、それをもとに脅威やぜい弱性、セキュリティ用件などを識別し、リスクを評価する。メリットとしては、リスクの内容をくまなく把握できるため、その対策が立てやすい。一方、デメリットとしては、多くの時間と労力を要し、担当者の知識と経験も必要となる。

ア:組合せアプローチ

イ:詳細リスク分析

ウ:非形式(非公式)アプローチ

エ:ベースラインアプローチ

答:イ

ア:誤り。組合せアプローチ(複合アプローチ)とは、重要な資産に対しては詳細リスク分析を適用し、それ以外の資産に対してはベースラインアプローチを適用する手法である。まずはじめにハイレベルリスク分析と呼ばれる分析対象全体を俯瞰し詳細リスク分析を適用する資産とベースラインアプローチを適用する資産を選別する分析を行う。

イ:正しい。詳細リスク分析とは、組織内の個々の情報資産に対して、資産価値や管理体制を調査し、それをもとに脅威やぜい弱性、セキュリティ用件などを識別し、リスクを評価する手法である。メリットとしては、リスクの内容をくまなく把握できるため、その対策が立てやすい。一方、デメリットとしては、多くの時間と労力を要し、担当者の知識と経験も必要となる。

ウ:誤り。非形式(非公式)アプローチとは、分析対象に精通した個人の経験的な判断によって、コントロールを決定する手法である。

エ:誤り。ベースラインアプローチとは、あらかじめ一定のセキュリティレベルを設定し、それを実現するために必要なコントロールの組合せを決定し、全ての情報資産に対して一様にこのコントロールの組合せを適用する手法である。

スポンサーリンク

Home > 問41~問60(対策) > 第17回-問題45

Page Top

© 2011-2018 過去問.com