5-4　リスクマネジメント

令和4年度公開問題　問86

情報セキュリティにおけるリスクアセスメントを,リスク特定,リスク分析,リスク評価の三つのプロセスに分けたとき,リスク分析に関する記述として,最も適切なものはどれか。

ア　受容基準と比較できるように,各リスクのレベルを決定する必要がある。
イ　全ての情報資産を分析の対象にする必要がある。
ウ　特定した全てのリスクについて,同じ分析技法を用いる必要がある。
エ　リスクが受容可能かどうかを決定する必要がある。

解答　ア

【頭の準備体操】
リスク受容基準の確立
　↓
リスクアセスメント
　①　リスク特定　・・・　リスクとなる要因を特定する。
　②　リスク分析　・・・　リスクレベルを決定する。
　③　リスク評価　・・・　リスクの優先順位を決定する。
　↓
リスク対応

ア　正解
イ　リスク特定でリスクとされた情報資産を，リスク分析の対象にする。
ウ　組織や優先度に応じて分析技法を用いる。
エ　リスク対応のプロセス。

令和3年度公開問題　問91

次の作業a～dのうち,リスクマネジメントにおける,リスクアセスメントに含まれるものだけを全て挙げたものはどれか。

a　脅威や脆弱性などを使って,リスクレベルを決定する。
b　リスクとなる要因を特定する。
c　リスクに対してどのように対応するかを決定する。
d　リスクについて対応する優先順位を決定する。

ア　a, b
イ　a, b, d
ウ　a, c, d
エ　c, d

解答　イ

頭の準備体操】
リスク受容基準の確立
　↓
リスクアセスメント
　①　リスク特定　・・・　リスクとなる要因を特定する。
　②　リスク分析　・・・　リスクレベルを決定する。
　③　リスク評価　・・・　リスクの優先順位を決定する。
　↓
リスク対応

a　〇。リスク分析で行う。
b　〇。リスク特定で行う。
c　×。リスク対応で行う。
d　〇。リスク評価で行う。