情報セキュリティマネジメント試験 過去問解説
リスクアセスメントとは?情報セキュリティマネジメント試験 令和6年度 科目A 問1を解説
情報セキュリティマネジメント試験 令和6年度 科目A 問1は、リスクアセスメントに関する理解を問う問題です。検索から入っても、問題文、選択肢、正解、解説、各選択肢がなぜ違うかをこのページだけで確認できます。
問題文
JIS Q 31000:2019(リスクマネジメント-指針)におけるリスクアセスメントを構成するプロセスの組合せはどれか。
この問題の出題ポイント
- リスクアセスメントの定義だけでなく、問題文中の条件がどの選択肢に当てはまるかを確認する。
選択肢
- アリスク特定,リスク評価,リスク受容
- イリスク特定,リスク分析,リスク評価正解
- ウリスク分析,リスク対応,リスク受容
- エリスク分析,リスク評価,リスク対応
正解
イ: リスク特定,リスク分析,リスク評価
解説
JIS Q 31000におけるリスクアセスメントは「リスク特定→リスク分析→リスク評価」の3つのプロセスから構成される。まずリスクを発見・認識・記述する特定を行い、次にリスクの性質や水準を理解する分析を行い、最後に分析結果を基準と比較してリスク対応の要否を判断する評価を行う。この3プロセスを正しく並べたイが正解である。
なぜ他の選択肢が違うのか
ア
「リスク受容」はリスク対応の選択肢の一つであり、アセスメントの構成要素ではないため誤り。リスク分析が欠落している点も不適切である。
イ(正解)
リスク特定・リスク分析・リスク評価の3つはJIS Q 31000が定義するリスクアセスメントの構成プロセスそのものであり正しい。
ウ
「リスク対応」と「リスク受容」はアセスメント後に行う対応段階の概念であり、アセスメントの構成要素ではないため誤り。
エ
リスク特定が欠け、対応段階である「リスク対応」が含まれているため、アセスメントの構成プロセスとしては誤り。
解き方の整理
リスクアセスメントの問題では、選択肢のキーワードだけで判断せず、問題文が示す条件と正解選択肢の説明が一致しているかを見ます。誤答選択肢は、似た用語を混ぜる、主体を入れ替える、目的や範囲を広げすぎる、という形で作られることが多いため、選択肢別解説まで確認しておくと復習効率が上がります。
関連問題
前後の問題
復習を続ける
間違えた問題、苦手タグ、模試履歴を保存して復習する導線を用意しています。広告なしPro、弱点分析、復習リマインダーは段階的に提供予定です。