▼IP令和3年度:問88 ISMSのリスクマネジメントにおいて、最初に行うものはどれか。
ア リスク対応
イ リスク特定
ウ リスク評価
エ リスク分析
▼上に出てきた用語の意味
【リスク risk】将来起こりうる悪い出来事、および、その確率や損害の程度。特に、何らかの行動や決断、あるいはその欠如によって、将来遭遇しうる損害とその可能性のこと。(IT用語辞典 e-Words)
【リスクアセスメント risk assessment】将来のリスクに備えるための一連の活動の総体。一般的にはリスク特定、リスク分析、リスク評価の各工程からなる一連のプロセス。
まずどのようなリスクが想定されるか洗い出し(リスク特定)、それぞれについてその性質や発生確率、損害の大きさなどを特定・推定し(リスク分析)、一定の基準に基いて各リスクへの対応・行動の必要性の有無や優先順位を判断・決定する(リスク評価)(IT用語辞典 e-Words)
▼今回の問いとFEのシラバスの関連を赤の★印、既出は橙色の★印で示しました。
表の出所 FEのシラバスから筆者が作成。
▼IPのシラバスでの位置付け
62. 情報セキュリティ管理 >(1) リスクマネジメント:リスクマネジメントは、リスクの特定・分析・評価・対応という流れで実施される。
〔用語例〕 リスクアセスメント(リスク特定、リスク分析、リスク評価)、リスク対応(リスク回避、リスク共有(リスク移転、リスク分散)、リスク保有)
62. 情報セキュリティ管理 >(2) 情報セキュリティ管理 :情報セキュリティ管理の必要性と情報セキュリティマネジメントシステム(ISMS: Information Security Management System)の考え方
▼比較:FEのシラバスでの位置付け
2.情報セキュリティ管理 >(2)リスク分析と評価 >④ 情報セキュリティリスクアセスメント:
リスクを特定し、そのリスクの生じやすさ及び実際に生じた場合に起こり得る結果を定量的又は定性的に把握してリスクレベルを決定し、組織が定めたリスク受容基準に基づく評価を行うことを理解する。
〔用語例〕リスク基準(リスク受容基準、情報セキュリティリスクアセスメントを実施するための基準)、リスクレベル、リスクマトリックス、リスク所有者、リスク源、リスクアセスメントのプロセス(リスク特定、リスク分析、リスク評価)、リスクの定性的分析、リスクの定量的分析
2.情報セキュリティ管理 >(2)リスク分析と評価 >⑤ 情報セキュリティリスク対応:情報セキュリティリスクアセスメントの結果を考慮して、適切な情報セキュリティリスク対応の選択肢を選定し、その選択肢の実施に必要な管理策を決定することを理解する。
解答イ