問題本文
情報セキュリティのリスクマネジメントにおいて,リスクの重大さを決定するために,算定されたリスクを与えられた基準と比較するプロセスはどれか。
選択肢
- ア.リスク対応
- イ.リスクの特定
- ウ.リスク評価
- エ.リスク分析
解説
情報セキュリティのリスクマネジメントは,リスクアセスメント(リスク特定→リスク分析→リスク評価)とリスク対応に大別される. リスク評価は,リスク分析で算定したリスク(発生確率×影響度等)を「与えられたリスク受容基準と比較」し,対策実施の必要性や優先度を判断するプロセスである. 一方,リスク特定はリスクの洗い出し,リスク分析はリスクの大きさを算定,リスク対応は受容・回避・低減・移転等の処置を行う段階であり,いずれも本問の「基準との比較」とは別工程となる. 各工程の役割と順序を整理して覚えることが重要となる.
選択肢ごとの解説
- ア.誤り. リスク対応は,評価の結果を踏まえてリスクの回避・低減・移転・受容といった処置を実施する工程. 算定済みリスクを基準と比較して重大さを決定する段階(=リスク評価)よりさらに後の活動であり,本問が問う「比較プロセス」とは別の段階となる. リスクマネジメントの段階順序を整理する.
- イ.誤り. リスクの特定は,組織にどのようなリスクが存在するかを洗い出す最上流の工程で,基準との比較ではなくリスクの発見・列挙が中心. 算定済みリスクを基準と比較するプロセスとは異なる活動であり,リスクアセスメント3段階(特定→分析→評価)の最初に位置付けられる.
- ウ.正解. リスク評価は,リスク分析によって算定されたリスクを,組織があらかじめ設定したリスク受容基準等と比較してリスクの重大さを決定するプロセス. 「対応すべきか・どの順序で対応するか」の判断根拠を得る段階であり,本問の「基準と比較する」記述と完全に合致する典型問題となる.
- エ.誤り. リスク分析は,特定されたリスクの発生確率と影響度を分析し,リスクの大きさ(リスクレベル)を算定する工程で,基準との比較を行う段階ではない. 算定結果を基準と比べて対応の要否を判断するのは,続くリスク評価の役割であり,分析と評価は別工程として明確に区別される.
ITパスポート 2014年 (平成26年 秋期) の過去問一覧へ戻る・問47