情報セキュリティ管理 (全115問中20問目)
No.20
ISMSのリスクアセスメントにおいて,最初に行うものはどれか。
出典:令和3年春期 問88
- リスク対応
- リスク特定
- リスク評価
- リスク分析
分類
テクノロジ系 » セキュリティ » 情報セキュリティ管理
正解
イ
解説
ISMSのリスクアセスメントは、リスクの大きさを評価し、そのリスクが許容できるか否かを決定する全体的なプロセスです。JIS Q 27000で「リスク特定,リスク分析及びリスク評価のプロセス全体」と定義されているように、「リスク特定」「リスク分析」「リスク評価」までの一連の活動を含みます。
したがって、リスクアセスメントで最初に行う活動は「リスク特定」となります。
- リスク特定
- リスクを発見し、認識する
リスク所有者を特定する - リスク分析
- リスクの特質を理解し、リスクレベルを決定する
リスクが実際に生じた場合の損害の大きさ及び起こりやすさを算定する - リスク評価
- リスク分析の結果と事前に定めておいたリスク基準とを比較する
リスク対応のために、分析したリスクの優先順位付けを行う