情報セキュリティマネジメント試験 令和6年度 公開問題(過去問) 問1 について解説します。
問題
問1 JIS Q 31000:2019(リスクマネジメント−指針)におけるリスクアセスメントを構成するプロセスの組合せはどれか。
ア リスク特定、リスク評価、リスク受容
イ リスク特定、リスク分析、リスク評価
ウ リスク分析、リスク対応、リスク受容
エ リスク分析、リスク評価、リスク対応
解説・解答
リスクアセスメント
リスクアセスメントは次の3ステップで行います。
Step ① リスク特定
目的: すべての潜在的リスクを洗い出すこと。
やること: 業務内容、ITシステム、物理的設備、人材など、さまざまな観点から「こういうことが起きたら困る」というものをピックアップする。
リスクの例: サーバーダウン、サイバー攻撃、従業員の情報漏洩、災害によるシステム停止 など
Step ② リスク分析
目的: 洗い出したリスクがどれだけ重大かを定量的または定性的に分析する。
評価軸: 「起こる可能性(発生頻度)」と「起こったときの影響度(損失額、社会的信用など)」
分析方法: ・ 定量的分析(確率 × 損害額など)
・ 定性的分析(「高・中・低」などの段階的評価)
Step ③ リスク評価
目的: 分析結果をもとに、「このリスクは受け入れる?それとも対応する?」という意思決定を行う。
手法: リスクマトリクス(縦:影響度 × 横:発生確率)を使って視覚的に整理することも多い。
優先順位付け: 「すぐ対応すべき重大なリスク」「リスクはあるけど、受容できるもの」などを分類。
(間違いやすい点)
「リスク受容」や「リスク対応」はアセスメントではありません。「リスク受容」や「リスク対応」はリスクアセスメントの後のプロセスです。
以上により、この問題の解答は「イ」になります。
