【情報セキュリティマネジメント試験】令和5年度 科目 A・B 公開問題「情報セキュリティリスクアセスメント」

IT資格

令和5年度 情報セキュリティマネジメント試験 公開問題 科目 A・B

問13 A 社は,分析・計測機器などの販売及び機器を利用した試料の分析受託業務を行う分析機器メーカーである。A 社では,図 1 の“情報セキュリティリスクアセスメント手順”に従い,年一度,情報セキュリティリスクアセスメントを行っている。

A 社の情報セキュリティリーダーである B さんは,年次の情報セキュリティリスクアセスメントを行い,結果を情報資産管理台帳に表 1 のとおり記載した。

設問 表 1 中の各情報資産のうち,保有以外のリスク対応を行うべきものはどれか。該当するものだけを全て挙げた組合せを,解答群の中から選べ。

答えを確認する

正解は エ です。

図1によると、保有以外のリスク対応を行うのは、「情報資産ごとのリスク値がしきい値を超えた場合」です。さらにそのしきい値は5と記載されている。各情報資産のリスク値を図1に記載された下記の式で計算する。

リスク値=情報資産の重要度×脅威の評価値×脆弱性の評価値

なお、情報資産の重要度は 「機密性、完全性、可用性の評価値の最大値」と記載されている。

(一) 従業員の健康診断の情報

情報資産の重要度:2(2・2・2の最大値)
リスク値: 2×2×2=8

(二) 行動規範などの社内ルール

情報資産の重要度:2(1・2・1の最大値)
リスク値: 2× 1 × 1 =2

(三) 自社Web サイトに掲載している会社情報

情報資産の重要度: 2(0・2・2の最大値)
リスク値: 2×2×2=8

(四) 分析結果の精度を向上させるために開発した技術

情報資産の重要度: 2(2・2・1の最大値)
リスク値: 2×2×1=4

リスク値が5を超えているのは(一) と (三)である。
エが正解である。


(解法のポイント
文書問題は、情報の量に圧倒されないようにしたい。
落ち着いて取り組めば、確実に正解できる。

本問のポイントは、図1から情報資産の重要度の算出方法を読み取ることである。

参考)令和08年 情報セキュリティマネジメント パーフェクトラーニング過去問題集(技術者評論社)

コメント

タイトルとURLをコピーしました