▼令和4年度:問86 情報セキュリティにおけるリスクアセスメントを、リスク特定、リスク分析、リスク評価の三つのプロセスに分けたとき、リスク分析に関する記述として、最も適切なものはどれか。
ア 受容基準と比較できるように、各リスクのレベルを決定する必要がある。
イ 全ての情報資産を分析の対象にする必要がある。
ウ 特定した全てのリスクについて、同じ分析技法を用いる必要がある。
エ リスクが受容可能かどうかを決定する必要がある。
▼上に出てきた用語の意味
【リスクアセスメント risk assessment】将来のリスクに備えるための、リスク特定、リスク分析、リスク評価からなる一連の活動。(IT用語辞典 e-Words)
【リスク特定】どのようなリスクが想定されるか洗い出す。(IT用語辞典 e-Words)
【リスク分析】それぞれについてその性質や発生確率、損害の大きさなどを特定・推定する。(IT用語辞典 e-Words)
【リスク評価】一定の基準に基いて各リスクへの対応・行動の必要性の有無や優先順位を判断・決定する。(IT用語辞典 e-Words)
▼今回の問いとFEのシラバスの関連を赤の★印、既出は橙色の★印で示しました。
表の出所 FEのシラバスから筆者が作成。
▼IPのシラバスでの位置付け
大分類9:技術要素 >中分類23:セキュリティ > 62. 情報セキュリティ管理 >(1) リスクマネジメント
〔用語例〕リスクアセスメント(リスク特定、リスク分析、リスク評価)
▼比較:FEのシラバスでの位置付け
大分類3:技術要素 >中分類11:セキュリティ >2. 情報セキュリティ管理 >(2)リスク分析と評価 >④ 情報セキュリティリスクアセスメント
〔用語例〕リスクアセスメントのプロセス(リスク特定、リスク分析、リスク評価)
解答ア