JIS Q 27000:2019 (情報セキュリティマネジメントシステム用語) におけるリスク評価についての説明として、適切なものはどれか。
- 対策を講じることによって、リスクを修正するプロセス
- リスクとその大きさが受容可能か否かを決定するために、リスク分析の結果をリスク基準と比較するプロセス
- リスクの特質を理解し、リスクレベルを決定するプロセス
- リスクの発見、認識及び記述を行うプロセス
出典:令和5年度 システム監査技術者試験 午前2 問19
正解:イ
JIS Q 27000:2019(情報セキュリティマネジメントシステム用語)とは用語集のような企画で、規格の内容を正しく説明している回答を選択する問題です、
回答ア:
誤りです。当該文書の「3.14 管理策」の内容です。
回答イ:
正しい記述です。当該文書の「3.67 リスク評価」として記載されています。
回答ウ:
誤りです。当該文書の「3.63 リスク分析」の内容です。
回答エ:
誤りです。当該文書の「3.68 リスク特定」の内容です。