▼IP令和3年度:問91 次の作業a~dのうち、リスクマネジメントにおける、リスクアセスメントに含まれるものだけを全て挙げたものはどれか。
a 脅威や脆(ぜい)弱性などを使ってリスクレベルを決定する。
b リスクとなる要因を特定する。
c リスクに対してどのように対応するかを決定する。
d リスクに対して対応する優先順位を決定する。
ア a, b イ a, b, d ウ a, c, d エ c, d
▼上に出てきた用語の意味
【リスクアセスメント risk assessment】将来のリスクに備えるための一連の活動の総体。リスク特定、リスク分析、リスク評価の各工程からなる一連のプロセス。
(1)リスク特定:まずどのようなリスクが想定されるか洗い出す。
(2)リスク分析:それぞれについてその性質や発生確率、損害の大きさなどを特定・推定。
(2)リスク評価:一定の基準に基いて各リスクへの対応・行動の必要性の有無や優先順位を判断・決定。(IT用語辞典 e-Words)
▼今回の問いとFEのシラバスの関連を赤の★印、既出は橙色の★印で示しました。
表の出所 FEのシラバスから筆者が作成。
▼IPのシラバスでの位置付け
62. 情報セキュリティ管理 >(1) リスクマネジメント:リスクマネジメントは、リスクの特定・分析・評価・対応という流れで実施される。
〔用語例〕 リスクアセスメント(リスク特定、リスク分析、リスク評価)、リスク対応(リスク回避、リスク共有(リスク移転、リスク分散)、リスク保有)
▼比較:FEのシラバスでの位置付け
2.情報セキュリティ管理 >(2)リスク分析と評価 >④ 情報セキュリティリスクアセスメント:
リスクを特定し、そのリスクの生じやすさ及び実際に生じた場合に起こり得る結果を定量的又は定性的に把握してリスクレベルを決定し、組織が定めたリスク受容基準に基づく評価を行うことを理解する。
〔用語例〕リスク基準(リスク受容基準、情報セキュリティリスクアセスメントを実施するための基準)、リスクレベル、リスクマトリックス、リスク所有者、リスク源、リスクアセスメントのプロセス(リスク特定、リスク分析、リスク評価)、リスクの定性的分析、リスクの定量的分析
解答イ