情報セキュリティマネジメント試験 令和7年度 公開問題(過去問) 問1 について解説します。
問題
問1 JIS Q 31000:2019(リスクマネジメント―指針)におけるリスクマネジメントプロセスに関する記述のうち、適切なものはどれか。
ア リスク対応の意義は、プロセスの設計、実施及び結末の質及び効果を保証し、改善することである。
イ リスク特定の意義は、リスクに対処するための選択肢を選定し、実施することである。
ウ リスク評価の意義は、組織の目的の達成を助ける又は妨害する可能性のあるリスクを発見し、認識し、記述することである。
エ リスク分析の意義は、必要に応じてリスクのレベルを含め、リスクの性質及び特性を理解することである。
解説・解答
JIS Q 31000 のリスクマネジメントプロセス
JIS Q 31000:2019 では、リスクマネジメントプロセスは大きく次のように整理されています。
・リスク特定
組織の目的の達成を助ける/妨げる可能性のあるリスクを見つけて、認識して、記述すること。
・リスク分析
リスクの性質や特性を理解し、必要に応じてリスクのレベルを求めること。
・リスク評価
リスク分析の結果をリスク基準と比較して、受容できるかどうかを判断すること。
・リスク対応
リスクに対処するための選択肢(手段)を選定し、実施すること。
それぞれの選択肢について確認します。
ア: リスク対応の意義は、プロセスの設計、実施及び結末の質及び効果を保証し、改善することである。
「質及び効果を保証し、改善する」というのはモニタリング及びレビュー(監視と見直し)の説明に近い内容です。リスク対応は「リスクに対処するための選択肢を選定し、実施すること」です。別のプロセスの説明になっているので誤りです。
イ: リスク特定の意義は、リスクに対処するための選択肢を選定し、実施することである。
「リスクに対処するための選択肢を選定し、実施すること」はリスク対応の定義です。リスク特定は「リスクを見つけて、認識して、記述すること」です。別のプロセスの説明になっているので誤りです。
ウ: リスク評価の意義は、組織の目的の達成を助ける又は妨害する可能性のあるリスクを発見し、認識し、記述することである。
「組織の目的の達成を助ける又は妨害する可能性のあるリスクを発見し、認識し、記述すること」はリスク特定の定義です。リスク評価は「リスク分析の結果をリスク基準と比較して、受容できるかどうかを判断すること」です。別のプロセスの説明になっているので誤りです。
エ: リスク分析の意義は、必要に応じてリスクのレベルを含め、リスクの性質及び特性を理解することである。
これはリスク分析の定義そのものです。
・リスクのレベルは「発生確率 × 影響度」などを指します。
・リスクの性質及び特性は「どんな原因で起こり、どんな影響をもたらすか、どの程度の不確実性か」などを指します。
これらを理解するのがリスク分析です。これが正解です。
以上により、この問題の解答は「エ」になります。
