第22問(H27)
 一般財団法人日本情報経済社会推進協会のISMSユーザーズガイド(リスクマネ
ジメント編)などが、情報セキュリティリスクアセスメントを実施するためのアプ
ローチとして、ベースラインアプローチ、非形式的アプローチ、詳細リスク分析、
組み合わせアプローチの4つを紹介している。これらのアプローチに関する記述と
して最も適切なものはどれか。

 ア ベースラインアプローチとは、システムの最も基本的な部分を選び、これに確
  保すべき一定のセキュリティレベルを設定して、現状とのギャップをリスクとし
  て評価することを指す。
 イ 非形式的アプローチとは、組織や担当者の経験や判断によってリスクを評価す
  ることを指す。
 ウ 詳細リスク分析とは、システムをサブシステムに分解し、そのシステムごとに
  リスク評価を行うことを指す。
 エ 組み合わせアプローチとは、システムをサブシステムに分解し、その組み合わ
  せすべてについてリスク評価を行うことを指す。
解答へのヒント
正解:イ
この分野まで要求されるのは以外だが、間違えても気にしないほどマイナー?
ただ、「詳細」や「組み合わせ」などは一般的な判断をしたい。