▼令和3年度:問99 情報セキュリティのリスクマネジメントにおいて、リスク移転、リスク回避、リスク低減、リスク保有などが分類に用いられることがある。これらに関する記述として、適切なものはどれか。
ア リスク対応において、リスクへの対応策を分類したものであり、リスクの健在化に備えて保険を掛けることは、リスク移転に分類される。
イ リスク特定において、保有資産の使用目的を分類したものであり、マルウェア対策ソフトのような情報セキュリティ対策で使用される資産は、リスク低減に分類される。
ウ リスク評価において、リスクの評価方法を分類したものであり管理対象の資産がもつリスクについて、それを回避することが可能かどうかで評価することは、リスク回避に分類される。
エ リスク分析において、リスクの分析手法を分類したものであり、管理対象の資産がもつ脆弱性を客観的な数値で表す手法は、リスク保有に分類される。
▼上に出てきた用語の意味
【リスクマネジメント risk management】企業などの事業活動に伴って想定される有害な事象への備えや対処を、業務として組織的に取り組むこと。
リスク移転:保険への加入など、他者にリスクを移すこと
リスク低減:スプリンクラーを備えたりデータセンターを分散するなどリスクの損害を減じる対策
リスク回避:撤退や精算終了など、そもそもリスクが発生しない状態にする対策.
リスク保有:戦争や政変の備えなど、対策コストが損失額を上回る場合、あえて措置を講じない
(IT用語辞典 e-Words)
▼今回の問いとFEのシラバスの関連を赤の★印、既出は橙色の★印で示しました。
表の出所 FEのシラバスから筆者が作成。
▼IPのシラバスでの位置付け
大分類9:技術要素 >中分類23:セキュリティ >62. 情報セキュリティ管理 >(1) リスクマネジメント:リスクマネジメントは、リスクの特定・分析・評価・対応という流れで実施される。事故などが発生した際に対処するために、対応マニュアルの整備や教育・訓練などの準備が必要である。
〔用語例〕リスクアセスメント(リスク特定、リスク分析、リスク評価)、リスク対応(リスク回避、リスク共有(リスク移転、リスク分散)、リスク保有)
▼比較:FEのシラバスでの位置付け
大分類3:技術要素 >中分類11:セキュリティ >2.情報セキュリティ管理 >(2)リスク分析と評価 >④ 情報セキュリティリスクアセスメント、⑤ 情報セキュリティリスク対応
〔用語例〕リスクアセスメントのプロセス(リスク特定、リスク分析、リスク評価)、リスク回避、リスク共有(リスク移転、リスク分散)、リスク保有、リスク集約
解答ア