情報セキュリティ管理(全115問中32問目)

情報セキュリティのリスクマネジメントにおけるリスク対応を,リスクの移転,回避,受容及び低減の四つに分類するとき,リスクの低減の例として,適切なものはどれか。

出典:令和元年秋期 問86

  • インターネット上で,特定利用者に対して,機密に属する情報の提供サービスを行っていたが,情報漏えいのリスクを考慮して,そのサービスから撤退する。
  • 個人情報が漏えいした場合に備えて,保険に加入する。
  • サーバ室には限られた管理者しか入室できず,機器盗難のリスクは低いので,追加の対策は行わない。
  • ノートPCの紛失,盗難による情報漏えいに備えて,ノートPCのHDDに保存する情報を暗号化する。
正解 問題へ
分野:テクノロジ系
中分類:セキュリティ
小分類:情報セキュリティ管理
解説
情報セキュリティマネジメントにおけるリスク対応策である、移転、回避、受容及び低減は、それぞれ次のような内容です。
リスク移転(リスク共有)
保険への加入やリスク業務のアウトソーシングなどにより、 他者にリスクを移転・分散すること
リスク回避
リスク源を除去して、リスクの発現確率をゼロにすること
リスク低減
リスクの発現確率やリスクが現実化したときの損失を低下させること
リスク受容(リスク保有)
リスクに対してあえて何の対策もとらないこと。発生頻度が低く損害も小さいリスクに対して選択される
これを踏まえて、それぞれの事例が4種のリスク対応のどれに該当するかを考えます。
  • リスク回避の例です。
  • リスク移転の例です。
  • リスク受容の例です。
  • 正しい。損害の発生確率を下げる対策なのでリスク低減の例です。暗号化しても復号されて情報が漏えいしてしまう可能性は残ることから、リスク回避ではありません。

Pagetop