情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 平成28年度秋期 午前 問8: JIS Q 27000におけるリスク評価はどれか。

問題本文

JIS Q 27000におけるリスク評価はどれか。

選択肢

• ア.対策を講じることによって，リスクを修正するプロセス
• イ.リスクが受容可能か否かを決定するために，リスク分析の結果をリスク基準と比較するプロセス
• ウ.リスクの特質を理解し，リスクレベルを決定するプロセス
• エ.リスクの発見，認識及び記述を行うプロセス

正解

イ. リスクが受容可能か否かを決定するために，リスク分析の結果をリスク基準と比較するプロセス

解説

JIS Q 27000では，リスクアセスメントはリスク特定・リスク分析・リスク評価の3段階からなり，「リスク評価」はリスク分析で求めたリスクレベルをあらかじめ定めたリスク基準と比較し，受容できるか判断するプロセスと定義される。正解のイはこの定義に一致する。

選択肢ごとの解説

• ア.対策を講じてリスクを修正するのはリスク対応の説明であり，リスク評価ではないため誤り。
• イ.リスク分析の結果をリスク基準と比較して受容可否を決定する説明であり，リスク評価の定義に一致するため正しい。
• ウ.リスクの特質を理解しリスクレベルを決定するのはリスク分析の説明であり，リスク評価ではないため誤り。
• エ.リスクの発見・認識・記述を行うのはリスク特定の説明であり，リスク評価ではないため誤り。