科目A問86
情報セキュリティにおけるリスクアセスメントを,リスク特定,リスク分析,リスク評価の三つのプロセスに分けたとき,リスク分析に関する記述として,最も適切なものはどれか。
| 受容基準と比較できるように,各リスクのレベルを決定する必要がある。 | |
| 全ての情報資産を分析の対象にする必要がある。 | |
| 特定した全てのリスクについて,同じ分析技法を用いる必要がある。 | |
| リスクが受容可能かどうかを決定する必要がある。 |
『情報処理過去問.com』からiPhoneアプリがリリースされました!!
正解
- ア
解説
リスクアセスメント(Risk Assessment)とは、リスク特定、リスク分析、リスク評価を行う一連のプロセスです。
ISOガイド73:2009では以下のように定義されています。
リスク特定(risk identification):リスクを発見、認識及び記述するプロセス
リスク分析(risk analysis):リスクの特質を理解し、リスクレベルを決定するプロセス
リスク評価(risk evaluation):リスク及び/又はその大きさが、受容可能かどうかを判断するために、リスク分析の結果をリスク基準と比較するプロセス
ISOガイド73:2009では以下のように定義されています。
リスク特定(risk identification):リスクを発見、認識及び記述するプロセス
リスク分析(risk analysis):リスクの特質を理解し、リスクレベルを決定するプロセス
リスク評価(risk evaluation):リスク及び/又はその大きさが、受容可能かどうかを判断するために、リスク分析の結果をリスク基準と比較するプロセス
| ア. | 受容基準と比較できるように,各リスクのレベルを決定する必要がある。 |
| リスク分析では、リスクの発生可能性や影響度を基にリスクレベルを決定するため、受容基準と比較できるようにする点が適切です。 | |
| イ. | 全ての情報資産を分析の対象にする必要がある。 |
| リスク分析の対象はリスク特定で認識されたリスクであり、全ての情報資産を対象とする必要はありません。 | |
| ウ. | 特定した全てのリスクについて,同じ分析技法を用いる必要がある。 |
| リスクの重要度や状況に応じて分析手法を使い分けるため、同じ分析技法を用いる必要はありません。 | |
| エ. | リスクが受容可能かどうかを決定する必要がある。 |
| リスクが受容可能かどうかの判断はリスク評価で行うため、この記述は不適切です。 |