リスクの基本概念
情報セキュリティマネジメント試験「情報資産」の問題
情報セキュリティ対策を検討する前提として、まず組織が「何を守るべきか」を明確にするために行うべきことはどれか。
ア対象を決める前にまずすべての通信を暗号化してしまうこと。
イ守るべき情報資産を洗い出し台帳などで把握しておくこと。
ウ発生したインシデントを公表してから対策を考えること。
エ最新の攻撃手法をすべて遮断する機器を先に導入すること。
正解
イ.守るべき情報資産を洗い出し台帳などで把握しておくこと。
守るべき対象(情報資産)が分からなければ適切な対策は選べない。まず保有する情報資産を洗い出し、重要度を把握すること(資産の特定・台帳化)が、リスクアセスメントや対策検討の出発点になる。
?選択肢ごとの解説
ア ×やみくもな暗号化は守る対象が不明確なままで、まず資産を把握する本問の趣旨とは順序が逆である。
イ ○守るべき対象(情報資産)が分からなければ適切な対策は選べない。まず保有する情報資産を洗い出し、重要度を把握すること(資産の特定・台帳化)が、リスクアセスメントや対策検討の出発点になる。
ウ ×インシデント公表は事後対応で、事前に守る対象を明確化する本問の活動とは段階が異なる。
エ ×機器の先行導入は対象を見極めないままの投資で、まず資産を把握する本問の考え方と合わない。
この問題の「深掘り・誤答の完全解説・試験のコツ・覚え方」はアプリで。
無料ではじめる →情報セキュリティマネジメント試験の全問を、一問ごとにAIの8-ways解説つきで。SRS暗記カード・全真模試・弱点診断まで。まずは無料で。
ukamiru 過去問 · 情報セキュリティマネジメント試験 · sg-a1-0023
