問題
JIS Q 27000:2014(情報セキュリティマネジメントシステム−用語)における“リスクレベル”の定義はどれか。
選択肢
- 1脅威によって付け込まれる可能性のある、資産又は管理策の弱点
- 2結果とその起こりやすさの組合せとして表現される、リスクの大きさ
- 3対応すべきリスクに付与する優先順位
- 4リスクの重大性を評価するために目安とする条件
正解
2. 結果とその起こりやすさの組合せとして表現される、リスクの大きさ
詳しい解説を見る解説を閉じる
解説
JIS Q 27000 では“リスクレベル”を「結果(影響の大きさ)とその起こりやすさ(発生確率)の組合せとして表現されるリスクの大きさ」と定義しています。したがって正解はイです。アは脆弱性、ウはリスク対応の優先順位付け、エはリスク評価の基準(リスク評価基準)の説明であり、いずれもリスクレベルそのものの定義ではありません。リスクの大きさは一般に「影響度×発生可能性」で捉える点を押さえましょう。(出典: 平成31年度 春期 基本情報技術者試験 午前 問41)
一問一答
科目A 180問+科目B 60問