(IP)R3年 問99

情報セキュリティのリスクマネジメントにおいて,リスク移転,リスク回避,リスク低減,リスク保有などが分類に用いられることがある。これらに関する記述として,適切なものはどれか。

 リスク対応において,リスクへの対応策を分類したものであり,リスクの顕在化に備えて保険を掛けることは,リスク移転に分類される。

 リスク特定において,保有資産の使用目的を分類したものであり,マルウェア対策ソフトのような情報セキュリティ対策で使用される資産は,リスク低減に分類される。

 リスク評価において,リスクの評価方法を分類したものであり,管理対象の資産がもつリスクについて,それを回避することが可能かどうかで評価することは,リスク回避に分類される。

 リスク分析において,リスクの分析手法を分類したものであり,管理対象の資産がもつ脆弱性を客観的な数値で表す手法は,リスク保有に分類される。

解説を読む

正解:ア

解説:

情報セキュリティマネジメントに於いてリスク対応は以下の4種類があります。

リスク移転…他者にリスクを負わせる
リスク回避…リスクの原因を除去する
リスク軽減…リスクの発生確率を抑える
リスク受容…あえてリスク対策を行わない

これらはリスクアセスメント(特定、分析、評価)によって対応が必要になったものに対してリスク毎に設定され都度見直しも行われます。

ア 「リスクの顕在化に備えて保険を掛けることは,リスク移転」は正しい表現です。

イ リスク特定はリスクアセスメントで行われるものです。

ウ リスク評価はリスクアセスメントで行われるものです。

エ リスク分析はリスクアセスメントで行われるものです。

解説を閉じる

コメント