▼IP令和元年度秋期:問56 次の作業 a ~ d のうち、リスクマネジメントにおける、リスクアセスメントに含まれるものだけを全て挙げたものはどれか。
a リスク特定
b リスク分析
c リスク評価
c リスク対応
ア a, b
イ a, b, c
ウ b, c, d
エ c, d
▼上に出てきた用語の意味
【リスクアセスメント RA:risk assessment】リスクアセスメントでは、まずどのようなリスクが想定されるか洗い出し(リスク特定)、それぞれについてその性質や発生確率、損害の大きさなどを特定・推定し(リスク分析)、一定の基準に基いて各リスクへの対応・行動の必要性の有無や優先順位を判断・決定する(リスク評価)。(IT用語辞典 e-Words)
▼今回の問いとFEのシラバスの関連を赤の★印、既出は橙色の★印で示しました。
表の出所 FEのシラバスから筆者が作成。
▼IPのシラバスでの位置付け
62. 情報セキュリティ管理 >(1) リスクマネジメント:リスクマネジメントは、リスクの特定・分析・評価・対応という流れで実施される。
〔用語例〕 リスクアセスメント(リスク特定、リスク分析、リスク評価)、リスク対応
▼比較:FEのシラバスでの位置付け
2.情報セキュリティ管理 >(2)リスク分析と評価 >④ 情報セキュリティリスクアセスメント:
リスクを特定し、そのリスクの生じやすさ及び実際に生じた場合に起こり得る結果を定量的又は定性的に把握してリスクレベルを決定し、組織が定めたリスク受容基準に基づく評価を行うことを理解する。
〔用語例〕リスクアセスメントのプロセス(リスク特定、リスク分析、リスク評価)
解答イ