情報セキュリティにおけるリスクアセスメントをリスク特定、リスク分析、リスク評価の三つのプロセスに分けたとき、リスク分析に関する記述として、最も適切なものはどれか。
答え ア
【解説】
リスクアセスメントにおけるリスク分析は「リスクの性質を理解し、リスクのレベルを決定するプロセス」で、以下のような内容が含まれます。
- リスクの原因、原因、推進要因の特定
- 既存のコントロールの有効性の調査
- 起こりうる結果とその可能性の分析
- リスク間の相互作用と依存関係の理解
- リスクの尺度(レベル)の決定
- 結果の検証と妥当性確認
- 不確実性と感度(変動)の分析