情報セキュリティマネジメント令和5年 [科目B]問13

問13

 A社は,分析・計測機器などの販売及び機器を利用した試料の分析受託業務を行う分析機器メーカーである。A社では,図1の"情報セキュリティリスクアセスメント手順"に従い,年一度,情報セキュリティリスクアセスメントを行っている。
  • 情報資産の機密性,完全性,可用性の評価値は,それぞれ0~2の3段階とする。
  • 情報資産の機密性,完全性,可用性の評価値の最大値を,その情報資産の重要度とする。
  • 脅威及び脆弱性の評価値は,それぞれ0~2の3段階とする。
  • 情報資産ごとに,様々な脅威に対するリスク値を算出し,その最大値を当該情報資産のリスク値として情報資産管理台帳に記載する。ここで,情報資産の脅威ごとのリスク値は,次の式によって算出する。
     リスク値=情報資産の重要度×脅威の評価値×脆弱性の評価値
  • 情報資産のリスク値のしきい値を5とする。
  • 情報資産ごとのリスク値がしきい値以下であれば受容可能なリスクとする。
  • 情報資産ごとのリスク値がしきい値を超えた場合は,保有以外のリスク対応を行う。
 A社の情報セキュリティリーダーであるBさんは,年次の情報セキュリティリスクアセスメントを行い,結果を情報資産管理台帳に表1のとおり記載した。
13_1.png/image-size:558×461

設問 表1中の各情報資産のうち,保有以外のリスク対応を行うべきものはどれか。該当するものだけを全て挙げた組合せを,解答群の中から選べ。
  • (一),(二)
  • (一),(二),(三)
  • (一),(二),(四)
  • (一),(三)
  • (一),(三),(四)
  • (一),(四)
  • (二),(三)
  • (二),(三),(四)
  • (二),(四)
  • (三),(四)

分類

情報セキュリティマネジメントの計画・要求事項 » リスクアセスメント及びリスク対応

正解

解説

  1. "従業員の健康診断の情報"の重要度は、機密性・完全性・可用性の評価値のなかで最も高い2、脅威の評価値は2、脆弱性の評価値は2です。リスク値は「重要度×脅威×脆弱性」で求めるので、リスク値は「2×2×2=8」となります。リスク値がしきい値の5を超えるので、保有以外のリスク対応が必要です。
  2. (一)と同じ手順で考えると、情報資産の評価値2、脅威1、脆弱性1なので、リスク値は「2×1×1=2」です。5以下なので、保有以外のリスク対応は不要です。
  3. 情報資産の評価値2、脅威2、脆弱性2なので、リスク値は「2×2×2=8」です。5を超えるので、保有以外のリスク対応が必要です。
  4. 情報資産の評価値2、脅威2、脆弱性1なので、リスク値は「2×2×1=4」です。5以下なので、保有以外のリスク対応は不要です。
正しい組合せは(一)と(三)なので「エ」が正解です。
© 2015-2024 情報セキュリティマネジメント試験ドットコム All Rights Reserved.

Pagetop