ITパスポート/スキマ時間にちょっと確認3~セキュリティ

ITパスポートすきま問題3テクノロジ系セキュリティ分野別
2021.08.26

スキマ時間に覚えたことを、ちょっと確認しませんか?

今日は、

・リスクアセスメントの内容、順番を覚えられる問題(第1問)
・リスク対応の分類を覚えられる問題(第3問)
・ISMSの概要を覚えられる問題(第5問)

です。

デジ猫
デジ猫

各用語の違いを覚えるんだね。

第1問

次の作業a~dのうち,リスクマネジメントにおける,リスクアセスメントに含まれるものだけを全て挙げたものはどれか。

a リスク特定
b リスク分析
c リスク評価
d リスク対応

ア a,b
イ a,b,c
ウ b,c,d
エ c,d
 

解説(令和元年秋 問56)

a リスク特定:組織に存在するリスクを洗い出す。(リスクアセスメント)

b リスク分析:リスクの発生確率と影響度から,リスクの大きさを算定する。(リスクアセスメント)

c リスク評価:リスクの大きさとリスク受容基準を比較して,対策実施の必要性を判断する。(リスクアセスメント)

d リスク対応:リスクへの対処方法を選択し,具体的な管理策の計画を立てる。
(ITパスポート 平成29年春 問63より)

よって,正解は,イ です。

第2問

内外に宣言する最上位の情報セキュリティポリシに記載することとして,最も適切なものはどれか。

ア 経営陣が情報セキュリティに取り組む姿勢
イ 情報資産を守るための具体的で詳細な手順
ウ セキュリティ対策に掛ける費用
エ 守る対象とする具体的な個々の情報資産
 

解説(令和元年秋 問84)

情報セキュリティポリシ:
企業や組織において実施する情報セキュリティ対策の方針や行動指針

情報資産を共有するすべての社員や職員が適切な情報セキュリティ意識を持たなければ、ウイルス、情報漏洩(ろうえい)などから組織を防御することは困難です。

そのため,”経営陣が情報セキュリティに取り組む姿勢”が最上位にきます。

第3問

情報セキュリティのリスクマネジメントにおけるリスク対応を,リスクの移転,回避,受容及び低減の四つに分類するとき, リスクの低減の例として,適切なものはどれか。

ア インターネット上で,特定利用者に対して,機密に属する情報の提供サービスを行っていたが,情報漏えいのリスクを考慮して,そのサービスから撤退する。
イ 個人情報が漏えいした場合に備えて,保険に加入する。
ウ サーバ室には限られた管理者しか入室できず,機器盗難のリスクは低いので,追加の対策は行わない。
エ ノートPCの紛失,盗難による情報漏えいに備えて,ノートPCのHDDに保存する情報を暗号化する。
 

解説(令和元年秋 問86)

アは、リスクの回避 です。

イは、リスクの移転 です。

ウは、リスクの受容 です。

エは、リスクの低減 です。

よって,正解は,エ です。

第4問

リスク対応を,移転,回避,低減及び保有に分類するとき,次の対応はどれに分類されるか。

〔対応〕
職場における机上の書類からの情報漏えい対策として,退社時のクリアデスクを導入した。

ア 移転
イ 回避
ウ 低減
エ 保有
 

解説(令和2年秋 問68)

クリアデスク:
離席する際に,机の上に書類や記憶媒体などを放置しないこと
過去に出題されたクリアデスクの具体例:
帰宅時,書類やノートPCを机の上に出したままにせず,施錠できる机の引出しなどに保管する。
(情報セキュリティH28年春午前 問2より)

正解は,ウ です。

第5問

ISMSの確立,実施,維持及び継続的改善における次の実施項目のうち,最初に行うものはどれか。

ア 情報セキュリティリスクアセスメント
イ 情報セキュリティリスク対応
ウ 内部監査
エ 利害関係者のニーズと期待の理解
 

解説(令和2年秋 問69)

ISMS(Information Security Management System:
情報セキュリティマネジメントシステム

一般に,高い評価(成果)を得るには,求められること(ニーズ,期待)を最初にしっかり把握することが大切です。

正解は,エ です。

デジ猫
デジ猫

アセスメントは、調査や評価することだって

以上、スキマ時間にちょっと確認Step3でした。

次は、こちら

Step2へ
スキマ時間問題
Step4へ

コメント

タイトルとURLをコピーしました