▼FE平成31年度春期:問41 JIS Q 27000:2014(情報セキュリティマネジメントシステムー用語)における”リスクレベル”の定義はどれか。
ア 脅威によって付け込まれる可能性のある、資産又は管理策の弱点
イ 結果とその起こりやすさの組合せとして表現される、リスクの大きさ
ウ 対応すべきリスクに付与する優先順位
エ リスクの重大性を評価するために目安とする条件
▼上に出てきた用語の意味
【JIS Q 27000:2014】情報セキュリティマネジメントシステム(ISMS:Information Security Management System)と同等の規格。
ISMSでは、各リスクに対しリスクレベルというリスクの大きさを割り振る。リスクレベルはリスクの起こりやすさと起こった場合の結果によって決定する(Wikipedia)。
【リスクレベル Risk Level】リスクが顕在化した結果引き起こされる損害の大きさとその起こりやすさの組合せとして表現される、リスクまたは組み合わさったリスクの大きさのこと(情報セキュリティマネジメント試験情報)。
▼解答イ
▼今回の問いとFEのシラバス(セキュリティ)の関連を赤の★印、既出は灰色の★印で示しました。
シラバスでは、2.情報セキュリティ管理 >(2)リスク分析と評価 > ④ 情報セキュリティリスクアセスメントに該当。
表の出所 FEのシラバスから筆者が作成。