ITパスポート試験 ITパスポート 2026年 (令和8年) 問68: 情報セキュリティにおけるリスクアセスメントのプロセスとして,適切な順序はどれか。

問題本文

情報セキュリティにおけるリスクアセスメントのプロセスとして,適切な順序はどれか。

選択肢

• ア.リスク対応→リスク特定→リスク分析→リスク評価
• イ.リスク特定→リスク分析→リスク評価→リスク対応
• ウ.リスク評価→リスク特定→リスク対応→リスク分析
• エ.リスク分析→リスク評価→リスク特定→リスク対応

正解

イ. リスク特定→リスク分析→リスク評価→リスク対応

解説

リスクアセスメントはリスク特定→分析 (発生確率・影響度の測定) →評価 (許容基準照合) の順に実施.その後リスク対応 (回避・低減・移転・受容) を行うのが標準順序となる.

選択肢ごとの解説

• ア.誤り. 対応は評価後で,特定→分析→評価の順が正しい順序.
• イ.正しい. 特定→分析→評価→対応がリスクマネジメントの標準順序.
• ウ.誤り. 評価は特定・分析の後に行うべき順序となる.
• エ.誤り. 特定なしでは分析できず順序として誤りの選択.