予想問題vol.6 問9
問9
ISMSにおけるリスク分析の方法の一つであるベースラインアプローチはどれか。
- 公表されている基準などに基づいて一定のセキュリティレベルを設定し,実施している管理策とのギャップ分析を行った上で,リスクを評価する。
- 情報資産を洗い出し,それぞれの情報資産に対して資産価値,脅威,脆弱性及びセキュリティ要件を識別し,リスクを評価する。
- 複数のリスク分析方法の長所を生かして組み合わせ,作業効率や分析精度の向上を図る。
- リスク分析を行う組織や担当者の判断によって,リスクを評価する。
- [出典]
- ソフトウェア開発技術者 H18秋期 問77
分類
テクノロジ系 » セキュリティ » 情報セキュリティ管理
正解
ア
解説
ベースラインアプローチは、一般に公開されている基準やガイドライン,チェックリストを使用して簡易的にリスク分析を行う手法です。
アンケートやチェックリストの回答から、組織やシステムにおける問題点を洗い出すので時間やコストが少なくて済みますが、大まかな分析になってしまうことや質問の品質によって分析結果が左右されるというデメリットもあります。
基準として活用できるものとしては「ISO/IEC 27001」「情報セキュリティ管理基準」「システム管理基準」などがあります。
アンケートやチェックリストの回答から、組織やシステムにおける問題点を洗い出すので時間やコストが少なくて済みますが、大まかな分析になってしまうことや質問の品質によって分析結果が左右されるというデメリットもあります。
基準として活用できるものとしては「ISO/IEC 27001」「情報セキュリティ管理基準」「システム管理基準」などがあります。
- 正しい。ベースラインアプローチの説明です。
- 詳細リスク分析の説明です。
- 組合せアプローチの説明です。
- 非公式アプローチの説明です。