リスクマネジメントとは？ITパスポート試験 2013年 (平成25年 春期) 問71を解説

問題文

この問題の出題ポイント

• リスクマネジメントの定義だけでなく、問題文中の条件がどの選択肢に当てはまるかを確認する。
• マネジメント系分野では、用語の目的・主体・責任範囲の違いが選択肢で問われやすい。
• 関連タグ: リスクマネジメント、情報セキュリティ。

選択肢

1. ア最終責任者は,現場の情報セキュリティ管理担当者の中から選ぶ。
2. イ組織の業務から切り離した単独の活動として行う。
3. ウ組織の全員が役割を分担して,組織全体で取り組む。正解
4. エ一つのマネジメントシステムの下で各部署に個別の基本方針を定め,各部署が独立して実施する。

解説

なぜ他の選択肢が違うのか

• ア

  最終責任者を現場の情報セキュリティ管理担当者の中から選ぶというのは,情報セキュリティガバナンスの原則に反する.最終責任者は経営者(社長・役員等)であり,情報セキュリティは経営課題として位置付けられる.現場担当者は実務責任を担うが最終責任者ではないため,本選択肢は誤り.

• イ

  組織の業務から切り離した単独活動として行うとするが,情報セキュリティリスクマネジメントは業務プロセスと一体化して継続的に実施するのが原則.業務から切り離せば現実の脅威・脆弱性に対応できず形骸化するため,業務と切り離す運用は明確に不適切で誤り.

• ウ（正解）

  正解.組織の全員が役割を分担して組織全体で取り組むのが情報セキュリティリスクマネジメントの基本原則.経営者・情報セキュリティ委員会・部門責任者・現場担当者など階層的に役割を分担し,全員参加で実効性を確保する.JIS Q 27001等のISMS規格もこの考え方を前提としており設問と合致.

• エ

  一つのマネジメントシステムの下で各部署に個別の基本方針を定め各部署が独立して実施するというのは,組織全体での整合性を欠くため不適切.基本方針は組織全体で統一して定めるのが原則で,部署ごとの実施手順は具体化できても基本方針レベルで独立した方針を持つのは管理矛盾を招き誤り.

解き方の整理

リスクマネジメントの問題では、選択肢のキーワードだけで判断せず、問題文が示す条件と正解選択肢の説明が一致しているかを見ます。誤答選択肢は、似た用語を混ぜる、主体を入れ替える、目的や範囲を広げすぎる、という形で作られることが多いため、選択肢別解説まで確認しておくと復習効率が上がります。

関連問題

前後の問題

2013年 (平成25年 春期) の関連する問題

2013年 (平成25年 春期)の問題一覧 ITパスポート試験の解説一覧