問題
ISO 27001(ISMS)における「リスクアセスメント」のプロセスに含まれるものとして、最も適切なものはどれか。
選択肢
- 1ア リスクの特定、分析、評価を行うこと
- 2イ セキュリティインシデントの対応手順を策定すること
- 3ウ 従業員へのセキュリティ教育を実施すること
- 4エ セキュリティ製品の導入を行うこと
正解
1. ア リスクの特定、分析、評価を行うこと
詳しい解説を見る解説を閉じる
解説
ISMS(ISO/IEC 27001)におけるリスクアセスメントは、リスクの特定(どのような脅威・脆弱性があるかを洗い出す)、リスクの分析(発生可能性と影響度からリスクの大きさを算定する)、リスクの評価(受容可能かを判断し対応の優先順位を決める)の3プロセスで構成される。よってアが正解である。イのインシデント対応手順の策定やウの従業員教育、エのセキュリティ製品の導入は、いずれもアセスメントの結果を踏まえて実施する「リスク対応」や管理策の段階に当たる。「特定→分析→評価」の3ステップの順序と、その後のリスク対応(低減・回避・移転・受容)との区別が頻出ポイントである。
一問一答
全200問を繰り返し学習