情報セキュリティマネジメント平成28年春期 午前問5
問5
JIS Q 27001において,リスクを受容するプロセスに求められるものはどれか。
- 受容するリスクについては,リスク所有者が承認すること
- 受容するリスクをモニタリングやレビューの対象外とすること
- リスクの受容は,リスク分析前に行うこと
- リスクを受容するかどうかは,リスク対応後に決定すること
分類
テクノロジ系 » セキュリティ » 情報セキュリティ対策
正解
ア
解説
リスク受容は、リスクに対してあえて何の対策も実施しない方策です。一般的には発生頻度が低く損害も小さいリスクや、リスク対策コストがリスクが顕在化したときの損害額を上回る場合などに採用されます。
- 正しい。JIS Q 27001では、リスク対応で実施する事項として
「情報セキュリティリスク対応計画及び残留している情報セキュリティリスクの受容について,リスク所有者の承認を得る」
と記述されています。 - 新たなリスクが発生したり、既存のリスクの中には変化したり、又はなくなったりするものがあるため、全てのリスクがモニタリングやレビューの対象となります。
- リスクを受容するかは、リスク分析の結果とリスク受容基準に基づいて決定されます。このためリスクの受容が行われるのはリスク分析後です。
- リスクを受容するかは、リスク対応のプロセスで決定されます。