午前問63
情報セキュリティのリスクマネジメントをリスク特定、リスク分析、リスク評価、リスク対応に分けたときに、リスク対応に含まれるものはどれか。
| 組織に存在するリスクを洗い出す。 | |
| リスクの大きさとリスク受容基準を比較して、対策実施の必要性を判断する。 | |
| リスクの発生確率と影響度から、リスクの大きさを算定する。 | |
| リスクへの対処方法を選択し、具体的な管理策の計画を立てる。 |
『情報処理過去問.com』からiPhoneアプリがリリースされました!!
正解
- エ
解説
JIS Q 31000では、リスクマネジメントをリスク特定・リスク分析・リスク評価・リスク対応の4段階に分けます。リスク対応は、分析・評価で明らかになったリスクに対して手を打つ段階で、対処方針を選び具体的な管理策を整えることを指します。したがって、対処方法の選定と管理策の計画を述べるエが該当します。
| ア. | 組織に存在するリスクを洗い出す。 |
| 組織内のリスクを漏れなく洗い出す内容で、これはリスク特定に当たります。リスク対応ではありません。 | |
| イ. | リスクの大きさとリスク受容基準を比較して、対策実施の必要性を判断する。 |
| リスクの大きさをリスク基準(受容・許容の基準)と照合して、受容可否や対策の要否を判断する記述で、リスク評価に該当します。 | |
| ウ. | リスクの発生確率と影響度から、リスクの大きさを算定する。 |
| 発生確率と影響度からリスクの大きさ(レベル)を見積もる作業で、これはリスク分析に該当します。 | |
| エ. | リスクへの対処方法を選択し、具体的な管理策の計画を立てる。 |
| リスクにどう向き合うかを選び、具体的な管理策を計画する記述で、リスクに処置を施すリスク対応に該当します。正解です。 |