情報セキュリティ管理 (全115問中7問目)
No.7
情報セキュリティのリスクマネジメントにおけるリスク対応を,リスク回避,リスク共有,リスク低減及びリスク保有の四つに分類したとき,リスク共有の説明として,適切なものはどれか。
出典:令和5年春期 問72
- 個人情報を取り扱わないなど,リスクを伴う活動自体を停止したり,リスク要因を根本的に排除したりすること
- 災害に備えてデータセンターを地理的に離れた複数の場所に分散するなど,リスクの発生確率や損害を減らす対策を講じること
- 保険への加入など,リスクを一定の合意の下に別の組織へ移転又は分散することによって,リスクが顕在化したときの損害を低減すること
- リスクの発生確率やリスクが発生したときの損害が小さいと考えられる場合に,リスクを認識した上で特に対策を講じず,そのリスクを受け入れること
分類
テクノロジ系 » セキュリティ » 情報セキュリティ管理
正解
ウ
解説
情報セキュリティマネジメントにおける4つのリスク対応策の意味は次のとおりです。
- リスク回避
- リスク源を除去してリスクが現実化する確率をゼロにすること
- リスク移転(リスク共有)
- 対象業務をアウトソーシングしたり損害保険を掛けたりするなどして、リスクを他者と共有すること
- リスク低減
- リスクが現実化する確率を低くする、もしくはリスクが現実化したときの損害を小さくすること、またはその両方
- リスク受容(リスク保有)
- リスクに対してあえてコントロールをしないことを選択し、リスクをそのまま受け入れること
- リスクそのものをなくすコントロールは、リスク回避に該当します。
- リスクが現実化する確率、または発生時の損害額を減らすコントロールは、リスク低減に該当します。
- 正しい。保険に加入することで、リスクが実際に発生した場合の損害額の負担が自社と保険会社とに分配されることになります。このようにリスクの一部を他者に移すコントロールは、リスク共有に該当します。
- リスクが現実化する確率が低い、または対策にかかる費用が損害額を下回る場合に、意図的に何も対策を講じずにリスクを受け入れる対応は、リスク保有に該当します。