リスクアセスメント
情報セキュリティマネジメント試験「資産価値の評価」の問題
リスク分析で情報資産の価値を評価する際の考え方として、最も適切なものはどれか。
ア購入時の取得価格だけを基準とし、機密性や事業への影響は価値に含めず評価する。
イ資産価値は機密性・完全性・可用性が損なわれた場合の影響度を踏まえて評価する。
ウ資産価値は担当者の主観で自由に決め、組織共通の評価尺度は設けないものとする。
エ価値の高低にかかわらず、すべての資産に最高レベルの管理策を一律適用する。
正解
イ.資産価値は機密性・完全性・可用性が損なわれた場合の影響度を踏まえて評価する。
資産価値は、機密性・完全性・可用性が損なわれたときに組織が被る影響の大きさを基準として評価し、リスクレベル算定の入力となる。
?選択肢ごとの解説
ア ×取得価格だけでは機密漏えい等による影響を反映できず、資産価値の評価として不十分である。
イ ○資産価値は、機密性・完全性・可用性が損なわれたときに組織が被る影響の大きさを基準として評価し、リスクレベル算定の入力となる。
ウ ×共通の評価尺度がないと評価がばらつき、組織全体で一貫したリスク判断ができなくなる。
エ ×価値に応じず一律最高水準の管理策を課すのは非効率で、費用対効果の観点から不適切である。
リスクアセスメントの他の問題
この問題の「深掘り・誤答の完全解説・試験のコツ・覚え方」はアプリで。
無料ではじめる →情報セキュリティマネジメント試験の全問を、一問ごとにAIの8-ways解説つきで。SRS暗記カード・全真模試・弱点診断まで。まずは無料で。
ukamiru 過去問 · 情報セキュリティマネジメント試験 · sg-a2-w4-0001
