情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 平成29年度春期 午前 問6: JIS Q 31000:2010(リスクマネジメント-原則及び指針)において,リスクマネジメントは,“リスクについて組織を指揮統制するための調整された活動”と定
←情報セキュリティマネジメント試験 平成29年度春期 午前
JIS Q 31000:2010(リスクマネジメント-原則及び指針)において,リスクマネジメントは,“リスクについて組織を指揮統制するための調整された活動”と定義されている。そのプロセスを構成する活動の実行順序として,適切なものはどれか。
問題本文
JIS Q 31000:2010(リスクマネジメント-原則及び指針)において,リスクマネジメントは,“リスクについて組織を指揮統制するための調整された活動”と定義されている。そのプロセスを構成する活動の実行順序として,適切なものはどれか。
選択肢
- ア.リスク特定 → リスク対応 → リスク分析 → リスク評価
- イ.リスク特定 → リスク分析 → リスク評価 → リスク対応
- ウ.リスク評価 → リスク特定 → リスク分析 → リスク対応
- エ.リスク評価 → リスク分析 → リスク特定 → リスク対応
正解
イ. リスク特定 → リスク分析 → リスク評価 → リスク対応
解説
本問はリスクマネジメントプロセスの正しい実行順序を問う。リスクは、まず洗い出し(リスク特定)、その大きさを見積もり(リスク分析)、基準と照らして優先度を判断し(リスク評価)、最後に対策を講じる(リスク対応)という順で扱う。正解はイで、特定→分析→評価の3段階をまとめてリスクアセスメントと呼び、その後に対応を行う。
選択肢ごとの解説
- ア.誤り。対応を分析・評価より前に行うことはできず、順序が不適切である。
- イ.正しい。リスク特定→リスク分析→リスク評価(=リスクアセスメント)→リスク対応が規格の定める正しい順序である。
- ウ.誤り。評価を最初に行うことはできず、特定や分析より前に評価を置くのは不適切である。
- エ.誤り。評価・分析を特定より前に置いており、対象を洗い出す前に評価・分析はできないため不適切である。
情報セキュリティマネジメント試験 平成29年度春期 午前 の過去問一覧へ戻る・問6