令和4年試験問題 問86

情報セキュリティにおけるリスクアセスメントを,リスク特定,リスク分析,リスク評価の三つのプロセスに分けたとき,リスク分析に関する記述として,最も適切なものはどれか。

  • 受容基準と比較できるように,各リスクのレベルを決定する必要がある。
  • 全ての情報資産を分析の対象にする必要がある。
  • 特定した全てのリスクについて,同じ分析技法を用いる必要がある。
  • リスクが受容可能かどうかを決定する必要がある。
正解 問題へ
分野:テクノロジ系
中分類:セキュリティ
小分類:情報セキュリティ管理
解説
リスクアセスメントは、対象組織に存在するリスクを認識し、リスクの大きさを評価し、そのリスクが許容できるか否かを決定する一連のプロセスです。JIS Q 27000で「リスク特定,リスク分析及びリスク評価のプロセス全体」と定義されているように、リスク特定、リスク分析、リスク評価までの活動を含みます。
リスク特定
リスクを発見し、認識する
リスク所有者を特定する
リスク分析
リスクの特質を理解し、リスクレベルを決定する
リスクが実際に生じた場合の損害の大きさ及び起こりやすさを算定する
リスク評価
リスク分析の結果と事前に定めておいたリスク基準とを比較する
リスク対応のために、分析したリスクの優先順位付けを行う
86.png
  • 正しい。特定されたリスクを分析し、リスクのレベルを決定するのはリスク分析の活動です。
  • リスク分析が対象とするのはリスク特定で認識されたリスクです。リスクが認識されなかった情報資産についてはリスク分析の対象外です。
  • リスク分析には、ベースラインアプローチ、詳細リスク分析、非公式アプローチなどいくつかの手法があります。1つの手法を用いることもできますが、分析にかかる時間とコストを最適化するため、組織や情報資産の重要度に応じて複数の手法を組み合わせることもできます。
  • リスクが受容可能かどうかを決定するのはリスク対応のプロセスです。

Pagetop