科目A問88
ISMSのリスクアセスメントにおいて,最初に行うものはどれか。
| リスク対応 | |
| リスク特定 | |
| リスク評価 | |
| リスク分析 |
『情報処理過去問.com』からiPhoneアプリがリリースされました!!
正解
- イ
解説
ISMSのリスクアセスメントは、JIS Q 27000で定義されるとおり、リスク特定→リスク分析→リスク評価の順に実施する一連の手続きです。最初に行うのはリスク特定で、対象となるリスクとリスク所有者を洗い出します。続くリスク分析では、影響の大きさと発生可能性を見積もってリスクレベルを把握し、最後のリスク評価で、分析結果を事前のリスク基準に照らして許容可否や優先度を決めます。したがって、設問の答えはリスク特定(イ)です。
| ア. | リスク対応 |
| リスク対応は、評価の結果に基づいて対策方針を決め実行する段階で、リスクアセスメントの後に行います。最初の活動ではありません。 | |
| イ. | リスク特定 |
| リスク特定です。対象となるリスク事象とリスク所有者を抽出し、その後のリスク分析・リスク評価の前提を整えます。 | |
| ウ. | リスク評価 |
| リスク評価は、分析結果をリスク基準と比較して受容可否や優先度を決める段階で、リスク分析の後に行います。最初ではありません。 | |
| エ. | リスク分析 |
| リスク分析は、特定したリスクについて影響度と発生可能性を見積もりリスクレベルを把握する段階で、リスク特定の後に行います。最初ではありません。 |