問題本文
情報セキュリティにおけるリスクアセスメントを,リスク特定,リスク分析,リスク評価の三つのプロセスに分けたとき,リスク分析に関する記述として,最も適切なものはどれか。
選択肢
- ア.受容基準と比較できるように,各リスクのレベルを決定する必要がある。
- イ.全ての情報資産を分析の対象にする必要がある。
- ウ.特定した全てのリスクについて,同じ分析技法を用いる必要がある。
- エ.リスクが受容可能かどうかを決定する必要がある。
正解
ア. 受容基準と比較できるように,各リスクのレベルを決定する必要がある。
解説
リスク分析は各リスクの大きさを発生可能性と影響度から評価しレベルを決定する活動.受容基準と比較できる形にリスクのレベルを数値化することが分析の目的という代表的な概念である.
選択肢ごとの解説
- ア.正しい. 受容基準比較用にリスクのレベルを決定する活動 (本問の正解選択肢).
- イ.全資産対象は実務上現実的でなく必須でないため誤った記述であり該当しない.
- ウ.同一技法強制ではなくリスクごとに選択可能であり誤った記述であり該当しない.
- エ.受容可否決定はリスク評価工程の役割であり誤った記述であり該当しない.
ITパスポート 2022年 (令和4年) の過去問一覧へ戻る・問86