情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 令和6年度 科目A 公開問題 問1: JIS Q 31000:2019（リスクマネジメント－指針）におけるリスクアセスメントを構成するプロセスの組合せはどれか。

問題本文

JIS Q 31000:2019（リスクマネジメント－指針）におけるリスクアセスメントを構成するプロセスの組合せはどれか。

選択肢

• ア.リスク特定，リスク評価，リスク受容
• イ.リスク特定，リスク分析，リスク評価
• ウ.リスク分析，リスク対応，リスク受容
• エ.リスク分析，リスク評価，リスク対応

正解

イ. リスク特定，リスク分析，リスク評価

解説

JIS Q 31000におけるリスクアセスメントは「リスク特定→リスク分析→リスク評価」の3つのプロセスから構成される。まずリスクを発見・認識・記述する特定を行い、次にリスクの性質や水準を理解する分析を行い、最後に分析結果を基準と比較してリスク対応の要否を判断する評価を行う。この3プロセスを正しく並べたイが正解である。

選択肢ごとの解説

• ア.「リスク受容」はリスク対応の選択肢の一つであり、アセスメントの構成要素ではないため誤り。リスク分析が欠落している点も不適切である。
• イ.リスク特定・リスク分析・リスク評価の3つはJIS Q 31000が定義するリスクアセスメントの構成プロセスそのものであり正しい。
• ウ.「リスク対応」と「リスク受容」はアセスメント後に行う対応段階の概念であり、アセスメントの構成要素ではないため誤り。
• エ.リスク特定が欠け、対応段階である「リスク対応」が含まれているため、アセスメントの構成プロセスとしては誤り。