問題本文
ISMSにおけるセキュリティリスクへの対応には,リスク移転,リスク回避,リスク受容及びリスク低減がある。リスク回避に該当する事例はどれか。
選択肢
- ア.セキュリティ対策を行って,問題発生の可能性を下げた。
- イ.問題発生時の損害に備えて,保険に入った。
- ウ.リスクが小さいことを確認し,問題発生時は損害を負担することにした。
- エ.リスクの大きいサービスから撤退した。
解説
正答はエ. ISMSにおけるリスク対応はリスク移転 (保険等で第三者に転嫁), リスク回避 (リスクのある活動自体をやめる), リスク受容 (対策せず損害を受け入れる), リスク低減 (対策で発生確率や影響を下げる) の4種に分類される. リスク回避はリスクの大きいサービスから撤退する等, リスクの原因そのものを除去する根本的対応. リスク移転は保険加入, リスク受容は損害負担容認, リスク低減はセキュリティ対策で確率や影響を下げる. 各対応の区別が頻出. この用語は試験頻出のため定義と用例を整理して確実に押
選択肢ごとの解説
- ア.セキュリティ対策を行って問題発生の可能性を下げるのはリスク低減の事例である. 対策によりリスクの発生確率や影響度を下げる対応で, リスクの原因自体を取り除くリスク回避とは別の対応類型であり誤り. 用語や概念の取り違いに注意. 確実に理解しておくべき頻出概念である.
- イ.問題発生時の損害に備えて保険に入るのはリスク移転の事例である. 保険会社などの第三者にリスクの影響を金銭面で転嫁する対応で, リスクの原因自体を排除するリスク回避とは異なる別対応で誤り. 用語や概念の取り違いに注意. 確実に理解しておくべき頻出概念である.
- ウ.リスクが小さいことを確認し問題発生時は損害を負担するのはリスク受容の事例である. リスクを認識した上で対策せず受け入れる対応で, リスクの原因自体を除去するリスク回避とは異なる別対応で誤り. 用語や概念の取り違いに注意. 確実に理解しておくべき頻出概念である.
- エ.リスクの大きいサービスから撤退するのはリスク回避の事例で正答. リスクのある活動・事業自体をやめることで, リスクの原因そのものを除去する最も根本的な対応類型に該当しISMSの典型例とされる. 用語の定義と適用範囲を整理して覚える. 確実に理解しておくべき頻出概念である.
ITパスポート 2015年 (平成27年 春期) の過去問一覧へ戻る・問53