カテゴリー: 脅威と対策
情報セキュリティマネジメントシステム、情報のCIA
情報セキュリティポリシー
出題ポイント
- 情報セキュリティの第一歩は基本方針の策定
- 基本方針を具体化したものが基準、基準を具体化したものが実施手順
- 基本方針は公表、他の文書は機密
- 情報セキュリティ基本方針と個人情報保護方針は個別に作成
リスクマネジメントプロセス
出題ポイント
- リスクには投機的リスクと純粋リスクがある
- 情報セキュリティの対象は純粋リスク
- リスクマネジメントはリスクアセスメント+リスク対応
- リスクコミュニケーションも重要
- リスクアセスメントは特定→分析→評価の順に行なう
リスク分析
出題ポイント
- 定量的評価は金額。代表例はALE。
- 定性的評価は段階。代表例はJRMS。
- ベースライン評価はチェックリストによるざっくり評価
- 非形式的評価は経験頼み
- 実務は詳細リスク分析と他の組み合わせを採用することが多い
脅威と脆弱性
出題ポイント
- 脅威は事故原因
- 脆弱性は弱点
- 否認とサービス拒否は全然違う
- ソーシャル・エンジニアリング各種手口の用語を覚える
- ソーシャル・エンジニアリングとSNSとは無関係
リスク対応
出題ポイント
- リスク対応はリスクの発生確率と損失の大小から考える
- リスクファイナンスはお金のはなし
- 残存リスクの許容は経営者が判断