問題本文
情報セキュリティのリスクマネジメントをリスク特定,リスク分析,リスク評価,リスク対応に分けたときに,リスク対応に含まれるものはどれか。
選択肢
- ア.組織に存在するリスクを洗い出す。
- イ.リスクの大きさとリスク受容基準を比較して,対策実施の必要性を判断する。
- ウ.リスクの発生確率と影響度から,リスクの大きさを算定する。
- エ.リスクへの対処方法を選択し,具体的な管理策の計画を立てる。
正解
エ. リスクへの対処方法を選択し,具体的な管理策の計画を立てる。
解説
情報セキュリティのリスクマネジメントは「リスクアセスメント(特定→分析→評価)+リスク対応」で構成される。リスク特定はリスクを洗い出す工程。リスク分析はリスクの発生確率と影響度からリスクの大きさを算定する工程。リスク評価はリスクの大きさと受容基準を比較して対策の優先度を判断する工程。リスク対応は評価されたリスクに対して回避・低減(軽減)・転嫁・受容などの対処方法を選択し具体的な管理策の計画を立てる工程である。
選択肢ごとの解説
- ア.誤り。組織に存在するリスクを洗い出す(リストアップする)のはリスク特定のプロセス。脅威・脆弱性・資産を組み合わせてリスクの一覧を作成する最初の工程であり、リスク対応ではない。
- イ.誤り。リスクの大きさとリスク受容基準を比較して対策実施の必要性を判断するのはリスク評価のプロセス。特定・分析で明らかになったリスクを許容できるかを判断する工程であり、リスク対応の前段階。
- ウ.誤り。リスクの発生確率と影響度からリスクの大きさを算定するのはリスク分析のプロセス。定性的・定量的手法でリスクの重大度を数値化・分類する工程であり、リスク対応ではない。
- エ.正しい。リスク対応はリスク特定→分析→評価を経た後、各リスクへの対処方法(回避・低減・転嫁・受容)を選択し、具体的な管理策(コントロール)の計画を策定する工程。ISMS計画プロセスの中核をなす。
ITパスポート 2017年 (平成29年 春期) の過去問一覧へ戻る・問63