情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 平成28年度春期 午前 問49: 事業継続計画の策定に際し，リスクへの対応として適切なものはどれか。

問題本文

事業継続計画の策定に際し，リスクへの対応として適切なものはどれか。

選択肢

• ア.全リスクを網羅的に洗い出し，リスクがゼロとなるように策定する。
• イ.想定するリスクのうち，許容できる損失を超えるものを優先的に対処する。
• ウ.想定するリスクの全てについて，発生時の対応策をとることを目的とする。
• エ.想定するリスクの優先度に差をつけずに検討する。

正解

イ. 想定するリスクのうち，許容できる損失を超えるものを優先的に対処する。

解説

事業継続計画（BCP）の策定では，限られた経営資源を効果的に配分するため，リスクの大きさ（影響度や発生可能性）に応じて優先順位を付けて対応する。許容できる損失を超える重大なリスクを優先的に対処するイが適切であり正解である。

選択肢ごとの解説

• ア.リスクを完全にゼロにすることは現実には不可能で費用対効果も合わないため，リスクゼロを目指す策定は不適切である。
• イ.正しい。許容できる損失を超える重大なリスクを優先的に対処することは，限られた資源を有効に使うBCPの考え方に合致する。
• ウ.すべてのリスクに対応策をとるのは資源的に困難であり，優先順位を付けるべきなので不適切である。
• エ.優先度に差をつけずに検討すると重大なリスクへの対応が遅れるおそれがあり，不適切である。