▼FE平成29年度秋期:問43 リスクアセスメントを構成するプロセスの組合せはどれか。
ア リスク特定、リスク評価、リスク受容
イ リスク特定、リスク分析、リスク評価
ウ リスク分析、リスク対応、リスク需要
エ リスク分析、リスク評価、リスク対応
▼上に出てきた用語の意味
【リスクアセスメント Risk assessment】リスク特定、リスク分析、リスク評価を網羅するプロセス。
1.リスク特定:リスクを発見し、認識し、記述するプロセス
2.リスク分析:リスクの特質を理解し、リスクレベルを決定するプロセス
3.リスク評価:リスクが受容可能かを決定するためにリスク分析の結果をリスク基準と比較するプロセス (Wikipediaを修正)
▼今回の問いとFEのシラバス(セキュリティ)の関連を赤の★印、既出は橙色の★印で示しました。
表の出所 FEのシラバスから筆者が作成。
▼FEのシラバスでの位置付け
2.情報セキュリティ管理 >(2)リスク分析と評価 >① 情報資産の調査:情報セキュリティリスクアセスメント及び情報セキュリティリスク対応に当たり、情報資産(情報システム、データ、文書ほか)を調査して特定することを理解する。
④ 情報セキュリティリスクアセスメント:リスクを特定し、そのリスクの生じやすさ及び実際に生じた場合に起こり得る結果を定量的又は定性的に把握してリスクレベルを決定し、組織が定めたリスク受容基準に基づく評価を行うことを理解する。
[用語例]リスク基準(リスク受容基準、情報セキュリティリスクアセスメントを実施するための基準)、以下略。
解答イ