ブログ一覧

みなさん、こんにちは。これ短講師 中小企業診断士の中里です。

6月になりました。残り2か月です。初めて受験する方は、ここからはインプットではなくアウトプット中心の学習に切り替えてくださいね。基本的には、これから新たな知識を覚えるというよりは、これまで覚えた知識をスムーズにアウトプットできるようにすることが大事です。試験問題の独特な表現の仕方に慣れて、どんなキーワードに反応して知識を出していけばいいかを、どんどん訓練してください。意外と試験で失敗するパターンは、アウトプットに慣れていない場合というのが多いと思います。試験対策の一番の対策は、過去問題とよく言われますが、まさに問題になれることが一番大事になります。

power

第22問

一般財団法人日本情報経済社会推進協会の ISMS ユーザーズガイド(リスクマネ ジメント編)などが、情報セキュリティリスクアセスメントを実施するためのアプローチとして、ベースラインアプローチ、非形式的アプローチ、詳細リスク分析、組み合わせアプローチの4つを紹介している。これらのアプローチに関する記述として最も適切なものはどれか。

 ア ベースラインアプローチとは、システムの最も基本的な部分を選び、これに確保すべき一定のセキュリティレベルを設定して、現状とのギャップをリスクとして評価することを指す。
イ 非形式的アプローチとは、組織や担当者の経験や判断によってリスクを評価することを指す。
ウ 詳細リスク分析とは、システムをサブシステムに分解し、そのシステムごとにリスク評価を行うことを指す。
エ 組み合わせアプローチとは、システムをサブシステムに分解し、その組み合わせすべてについてリスク評価を行うことを指す。

 

この問題は、ガイドラインなどの理解を問う問題です。またまた、この手の問題は、対策が難しく、経営情報システムの問題の中でも難易度が高い問題となります。第21問と同じように、あまり深入りをせずに割り切る対応も必要です。

「ア」の「ベースラインアプローチ」とは、業界標準の基準や公表されているガイドラインなどを基準としてして、セキュリティ対策を実施する内容です。システムの基本部分という意味でのベースラインではないので説明が異なります。

「イ」の「非線形的アプローチ」はアのベースラインアプローチとは反対に、ガイドラインなどの基準を用いずに知識・ノウハウをもとに評価を行う方式です。新たな基準などの学習が不要なため、短期間・低コストで導入が可能なメリットがあります。

「ウ」の「詳細リスク分析」情報資産に対して、評価を行い、評価に基づく リスクの大きさを把握する方式です。サブシステムに対する評価ではないので説明が誤りと言えます。

「エ」の「組み合わせアプローチ」詳細リスク分析とベースラインアプローチを組み合わせてセキュリティアセスメントを行う方法です。前述の通り、いずれの手法もサブシステムに対するものではないので説明が誤りと言えます。

以上のことから「イ」が正答になります。

会社などで、ISMSなどに取り組んでいる方以外は本問題は捨て問題と考えてよいと思います。ただし、捨て問題を作るためには他の問題、特に基本的な問題は落とすことができない問題となるので、試験中でもどの問題を得点する問題かをしっかり意識しながら回答する必要があります。

コメント

  1. この記事へのコメントはありません。

  1. この記事へのトラックバックはありません。