JIS Q 27001:2006 における情報システムのリスクとその評価に関する記述のうち, 適切なものはどれか。

ア　脅威とは, 脆弱性が顕在化する源のことであり, 情報システムに組み込まれた技術的管理策によって脅威のレベルと発生の可能性が決まる。
イ　脆弱性とは, 情報システムに対して悪い影響を与える要因のことであり, 自然災害, システム障害, 人為的過失及び不正行為に大別される。
ウ　リスクの特定では, 脅威が管理策の脆弱性に付け込むことによって情報資産に与える影響を特定する。
エ　リスク評価では, リスク回避とリスク低減の二つに評価を分類し, リスクの大きさを判断して対策を決める。

こぼる
「JIS。。日本だけでしか通用しないのか。しょぼいわ～」

ジョブりんご
「世界の規格にすると、『会社がJISに適応している。認定しよう。』という手続きがきめ細やかにできないだろう？」

こぼる
「じゃあJISってしょぼくないの？」

ジョブりんご
「大切な基準だ。JIS Q 27001　とは、情報セキュリティのシステム(ISMS)がちゃんとしているかの判断材料だ。:2006 は、2006年度版のことだ。」

こぼる
「んじゃ、情報セキュリティの基本的なことが書かれているの？」

ジョブりんご
「基本的なことと言うが、会社の内部の政治的なことも含めて、遵守している会社は立派だ。」

こぼる
「ふ～ん。大人になったら考えよう。
アの脅威って、攻撃する奴のことでしょ？なんか内容がちぐはぐ。」

ジョブりんご
「そうだ。」

こぼる
「イの脆弱性って、ソフトウェアの弱点、攻撃する奴のつけいる隙のことだよね。
説明部分は、『脅威』のこと言ってるよねえ？」

ジョブりんご
「冴えてるな。」

こぼる
「それはもう…脆弱性つぶすのにどんだけ苦労してるか。。
ウは正解だね。
エは…リスク評価って、4種類だったきがす？」

ジョブりんご
「そうだな。リスク回避、リスク低減、リスク移転、リスク保有だ。」

こぼる
「ウとか、このブログのリスク特定といえばなんかある？」

ジョブりんご
「グーグル八分をくらえば、管理人の試験対策のモチベーションが下がり、試験を受けず、会社で評価されず、所得が増えず」

こぼる
「グーグルって、いろんな人の生命線なのね～。入りたいわ～」

ジョブりんご
「アップルで分散検索エンジン作ってくれよ。」