ITパスポート試験 過去問解説

リスクマネジメントとは?ITパスポート試験 2017年 (平成29年 春期) 問63を解説

ITパスポート試験 2017年 (平成29年 春期) 問63は、リスクマネジメントに関する理解を問う問題です。検索から入っても、問題文、選択肢、正解、解説、各選択肢がなぜ違うかをこのページだけで確認できます。

アプリ形式でこの問題を解く 弱点分析・復習リマインダーを見る

問題文

情報セキュリティのリスクマネジメントをリスク特定,リスク分析,リスク評価,リスク対応に分けたときに,リスク対応に含まれるものはどれか。

この問題の出題ポイント

  • リスクマネジメントの定義だけでなく、問題文中の条件がどの選択肢に当てはまるかを確認する。
  • テクノロジ系分野では、用語の目的・主体・責任範囲の違いが選択肢で問われやすい。
  • 関連タグ: リスクマネジメント、リスク対応。

選択肢

  1. 組織に存在するリスクを洗い出す。
  2. リスクの大きさとリスク受容基準を比較して,対策実施の必要性を判断する。
  3. リスクの発生確率と影響度から,リスクの大きさを算定する。
  4. リスクへの対処方法を選択し,具体的な管理策の計画を立てる。正解

正解

: リスクへの対処方法を選択し,具体的な管理策の計画を立てる。

解説

情報セキュリティのリスクマネジメントは「リスクアセスメント(特定→分析→評価)+リスク対応」で構成される。リスク特定はリスクを洗い出す工程。リスク分析はリスクの発生確率と影響度からリスクの大きさを算定する工程。リスク評価はリスクの大きさと受容基準を比較して対策の優先度を判断する工程。リスク対応は評価されたリスクに対して回避・低減(軽減)・転嫁・受容などの対処方法を選択し具体的な管理策の計画を立てる工程である。

なぜ他の選択肢が違うのか

  • 誤り。組織に存在するリスクを洗い出す(リストアップする)のはリスク特定のプロセス。脅威・脆弱性・資産を組み合わせてリスクの一覧を作成する最初の工程であり、リスク対応ではない。

  • 誤り。リスクの大きさとリスク受容基準を比較して対策実施の必要性を判断するのはリスク評価のプロセス。特定・分析で明らかになったリスクを許容できるかを判断する工程であり、リスク対応の前段階。

  • 誤り。リスクの発生確率と影響度からリスクの大きさを算定するのはリスク分析のプロセス。定性的・定量的手法でリスクの重大度を数値化・分類する工程であり、リスク対応ではない。

  • エ(正解)

    正しい。リスク対応はリスク特定→分析→評価を経た後、各リスクへの対処方法(回避・低減・転嫁・受容)を選択し、具体的な管理策(コントロール)の計画を策定する工程。ISMS計画プロセスの中核をなす。

解き方の整理

リスクマネジメントの問題では、選択肢のキーワードだけで判断せず、問題文が示す条件と正解選択肢の説明が一致しているかを見ます。誤答選択肢は、似た用語を混ぜる、主体を入れ替える、目的や範囲を広げすぎる、という形で作られることが多いため、選択肢別解説まで確認しておくと復習効率が上がります。

関連問題

前後の問題

問62ISMSに関するトップマネジメントの考え方や基本原理を示す公式な文書はどれか。問64プラグアンドプレイ機能によって行われるものとして,適切なものはどれか。

2017年 (平成29年 春期) の関連する問題

問47 · 同じ用語: リスクマネジメントあるシステム開発プロジェクトでは,システムを構成する一部のプログラムが複雑で,そのプログラムの作成には高度なスキルを保有する特定の要員を...問49 · 同じテーマ: リスクマネジメントITガバナンスの説明として,最も適切なものはどれか。問7 · 同じテーマ: リスクマネジメントエンタープライズアーキテクチャ(EA)の説明として,最も適切なものはどれか。問62 · 同じ分野: テクノロジ系ISMSに関するトップマネジメントの考え方や基本原理を示す公式な文書はどれか。問64 · 同じ分野: テクノロジ系プラグアンドプレイ機能によって行われるものとして,適切なものはどれか。

2017年 (平成29年 春期)の問題一覧 ITパスポート試験の解説一覧

復習を続ける

間違えた問題、苦手タグ、模試履歴を保存して復習する導線を用意しています。広告なしPro、弱点分析、復習リマインダーは段階的に提供予定です。

Pro機能を見る ITパスポートアプリを開く