情報セキュリティマネジメント試験 過去問解説
リスクアセスメントとは?情報セキュリティマネジメント試験 平成29年度春期 午前 問6を解説
情報セキュリティマネジメント試験 平成29年度春期 午前 問6は、リスクアセスメントに関する理解を問う問題です。検索から入っても、問題文、選択肢、正解、解説、各選択肢がなぜ違うかをこのページだけで確認できます。
問題文
JIS Q 31000:2010(リスクマネジメント-原則及び指針)において,リスクマネジメントは,“リスクについて組織を指揮統制するための調整された活動”と定義されている。そのプロセスを構成する活動の実行順序として,適切なものはどれか。
この問題の出題ポイント
- リスクアセスメントの定義だけでなく、問題文中の条件がどの選択肢に当てはまるかを確認する。
選択肢
- アリスク特定 → リスク対応 → リスク分析 → リスク評価
- イリスク特定 → リスク分析 → リスク評価 → リスク対応正解
- ウリスク評価 → リスク特定 → リスク分析 → リスク対応
- エリスク評価 → リスク分析 → リスク特定 → リスク対応
正解
イ: リスク特定 → リスク分析 → リスク評価 → リスク対応
解説
本問はリスクマネジメントプロセスの正しい実行順序を問う。リスクは、まず洗い出し(リスク特定)、その大きさを見積もり(リスク分析)、基準と照らして優先度を判断し(リスク評価)、最後に対策を講じる(リスク対応)という順で扱う。正解はイで、特定→分析→評価の3段階をまとめてリスクアセスメントと呼び、その後に対応を行う。
なぜ他の選択肢が違うのか
ア
誤り。対応を分析・評価より前に行うことはできず、順序が不適切である。
イ(正解)
正しい。リスク特定→リスク分析→リスク評価(=リスクアセスメント)→リスク対応が規格の定める正しい順序である。
ウ
誤り。評価を最初に行うことはできず、特定や分析より前に評価を置くのは不適切である。
エ
誤り。評価・分析を特定より前に置いており、対象を洗い出す前に評価・分析はできないため不適切である。
解き方の整理
リスクアセスメントの問題では、選択肢のキーワードだけで判断せず、問題文が示す条件と正解選択肢の説明が一致しているかを見ます。誤答選択肢は、似た用語を混ぜる、主体を入れ替える、目的や範囲を広げすぎる、という形で作られることが多いため、選択肢別解説まで確認しておくと復習効率が上がります。
関連問題
前後の問題
平成29年度春期 午前 の関連する問題
復習を続ける
間違えた問題、苦手タグ、模試履歴を保存して復習する導線を用意しています。広告なしPro、弱点分析、復習リマインダーは段階的に提供予定です。