問題
問86
情報セキュリティにおけるリスクアセスメントを、リスク特定、リスク分析、リスク評価の三つのプロセスに分けたとき、リスク分析に関する記述として、最も適切なものはどれか。
- 受容基準と比較できるように、各リスクのレベルを決定する必要がある。
- 全ての情報資産を分析の対象にする必要がある。
- 特定した全てのリスクについて、同じ分析技法を用いる必要がある。
- リスクが受容可能かどうかを決定する必要がある。
[出典:ITパスポート試験 令和4年度 問86]
スポンサーリンク
正解
正解は「ア」です。
解説
選択肢「ア」が正解です。リスク分析の目的は、特定されたリスクの影響度や発生確率を評価し、リスクのレベルを決定することです。これにより、リスクがどの程度の影響を持つかを理解し、適切な対策を講じるための基礎を築くことができます。受容基準と比較することで、リスクが許容範囲内かどうかを判断し、必要な対応を決定することができます。
イ(全ての情報資産を分析の対象にする必要がある):
リスク分析の対象は、全ての情報資産ではなく、特定されたリスクに関連する情報資産です。
ウ(特定した全てのリスクについて、同じ分析技法を用いる必要がある):
リスクの種類や特性に応じて、適切な分析技法を選択することが重要です。
エ(リスクが受容可能かどうかを決定する必要がある):
リスクが受容可能かどうかを決定するのはリスク評価のプロセスであり、リスク分析のプロセスではありません。
難易度
普通
リスクマネジメントの基本的な知識を問う問題であり、ITパスポート試験の範囲内であれば理解しやすい内容です。
スポンサーリンク
用語補足
リスクアセスメント:
リスクアセスメントは、リスク特定、リスク分析、リスク評価の三つのプロセスから成り、組織の情報資産に対するリスクを評価するための手法です。
リスク分析:
リスク分析は、特定されたリスクの影響度や発生確率を評価し、リスクのレベルを決定するプロセスです。
対策
リスクマネジメントの基本的なプロセスであるリスク特定、リスク分析、リスク評価の違いを理解することが重要です。特に、各プロセスの目的や役割を明確にし、具体的な例を通じて理解を深めることで、試験対策に有効です。
