5-4　リスクマネジメント

令和2年度公開問題　 問68

リスク対応を,移転,回避,低減及び保有に分類するとき,次の対応はどれに分類されるか。

〔対応〕
職場における机上の書類からの情報漏えい対策として,退社時のクリアデスクを導入した。

• ア　移転
• イ　回避
• ウ　低減
• エ　保有

令和4年度公開問題　 問76

情報セキュリティのリスクマネジメントにおけるリスク対応を,リスク回避,リスク共有,リスク低減及びリスク保有の四つに分類するとき,情報漏えい発生時の損害に備えてサイバー保険に入ることはどれに分類されるか。

• ア　リスク回避
• イ　リスク共有
• ウ　リスク低減
• エ　リスク保有

令和6年度公開問題　 問64

情報セキュリティのリスクマネジメントにおけるリスクへの対応を,リスク共有,リスク回避,リスク保有及びリスク低減の四つに分類するとき,リスク共有の例として,適切なものはどれか。

• ア　災害によるシステムの停止時間を短くするために,遠隔地にバックアップセンターを設置する。
• イ　情報漏えいによって発生する損害賠償や事故処理の損失補填のために,サイバー保険に加入する。
• ウ　電子メールによる機密ファイルの流出を防ぐために,ファイルを添付した電子メールの送信には上司の許可を必要とする仕組みにする。
• エ　ノートPCの紛失や盗難による情報漏えいを防ぐために,HDDを暗号化する。

令和5年度公開問題　 問72

情報セキュリティのリスクマネジメントにおけるリスク対応を,リスク回避,リスク共有,リスク低減及びリスク保有の四つに分類したとき,リスク共有の説明とし て,適切なものはどれか。

• ア　個人情報を取り扱わないなど,リスクを伴う活動自体を停止したり,リスク要因を根本的に排除したりすること
• イ　災害に備えてデータセンターを地理的に離れた複数の場所に分散するなど,リスクの発生確率や損害を減らす対策を講じること
• ウ　保険への加入など,リスクを一定の合意の下に別の組織へ移転又は分散することによって,リスクが顕在化したときの損害を低減すること
• エ　リスクの発生確率やリスクが発生したときの損害が小さいと考えられる場合に,リスクを認識した上で特に対策を講じず,そのリスクを受け入れること

令和3年度公開問題　 問99

情報セキュリティのリスクマネジメントにおいて,リスク移転,リスク回避,リスク低減,リスク保有などが分類に用いられることがある。これらに関する記述として,適切なものはどれか。

• ア　リスク対応において,リスクへの対応策を分類したものであり,リスクの顕在化に備えて保険を掛けることは,リスク移転に分類される。
• イ　リスク特定において,保有資産の使用目的を分類したものであり,マルウェア対策ソフトのような情報セキュリティ対策で使用される資産は,リスク低減に分類される。
• ウ　リスク評価において,リスクの評価方法を分類したものであり,管理対象の資産がもつリスクについて,それを回避することが可能かどうかで評価することは, リスク回避に分類される。
• エ　リスク分析において,リスクの分析手法を分類したものであり,管理対象の資産がもつ脆弱性を客観的な数値で表す手法は,リスク保有に分類される。