コンテンツへスキップ
脅威と対策 003

出題ポイント

  • 情報セキュリティの第一歩は基本方針の策定
  • 基本方針を具体化したものが基準、基準を具体化したものが実施手順
  • 基本方針は公表、他の文書は機密
  • 情報セキュリティ基本方針と個人情報保護方針は個別に作成
脅威と対策 004

出題ポイント

  • リスクには投機的リスクと純粋リスクがある
  • 情報セキュリティの対象は純粋リスク
  • リスクマネジメントはリスクアセスメント+リスク対応
  • リスクコミュニケーションも重要
  • リスクアセスメントは特定→分析→評価の順に行なう
脅威と対策 005

出題ポイント

  • 定量的評価は金額。代表例はALE。
  • 定性的評価は段階。代表例はJRMS。
  • ベースライン評価はチェックリストによるざっくり評価
  • 非形式的評価は経験頼み
  • 実務は詳細リスク分析と他の組み合わせを採用することが多い
組織的・人的セキュリティ 002

出題ポイント

  • 個人情報取扱手順書→個人情報棚卸し→個人情報管理台帳作成
  • 管理すべき個人情報を最初に定義
  • 管理レベルは機密性に応じて設定
  • ラベリングも全社統一
  • 不要な個人情報は廃棄、重複情報は一本化、管理レベルに合わせたファイル分割