情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 平成29年度春期 午前 問5: JIS Q 31000:2010(リスクマネジメント-原則及び指針)において,リスクマネジメントを効果的なものにするために,組織が順守することが望ましいこととし
←情報セキュリティマネジメント試験 平成29年度春期 午前
JIS Q 31000:2010(リスクマネジメント-原則及び指針)において,リスクマネジメントを効果的なものにするために,組織が順守することが望ましいこととして挙げられている原則はどれか。
問題本文
JIS Q 31000:2010(リスクマネジメント-原則及び指針)において,リスクマネジメントを効果的なものにするために,組織が順守することが望ましいこととして挙げられている原則はどれか。
選択肢
- ア.リスクマネジメントは,静的であり,変化が生じたときに終了する。
- イ.リスクマネジメントは,組織に合わせて作られる。
- ウ.リスクマネジメントは,組織の主要なプロセスから分離した単独の活動である。
- エ.リスクマネジメントは,リスクが顕在化した場合を対象とする。
正解
イ. リスクマネジメントは,組織に合わせて作られる。
解説
本問はJIS Q 31000:2010が掲げるリスクマネジメントの諸原則を問う。同規格は、リスクマネジメントが組織の外部・内部環境やリスクプロファイルに合わせて作り込まれるべき(テーラーメイドである)ことを原則の一つとして挙げている。正解はイで、組織ごとの状況に適合させることが効果的なリスクマネジメントの条件である。
選択肢ごとの解説
- ア.誤り。規格はリスクマネジメントが動的で変化に対応し継続的に繰り返されるべきとしており、静的で変化時に終了するという記述は逆である。
- イ.正しい。リスクマネジメントは組織に合わせて作られる(テーラーメイドである)ことが、同規格の原則として明記されている。
- ウ.誤り。規格はリスクマネジメントが組織のあらゆるプロセスに統合された不可欠な部分であるべきとしており、分離した単独活動とする記述は誤りである。
- エ.誤り。リスクマネジメントは顕在化したリスクだけでなく不確かさを体系的に扱うものであり、顕在化した場合のみを対象とする記述は誤りである。
情報セキュリティマネジメント試験 平成29年度春期 午前 の過去問一覧へ戻る・問5