情報セキュリティにおけるリスクアセスメントをリスク特定、リスク分析、リスク評価の三つのプロセスに分けたとき、リスク分析に関する記述として、最も適切なものはどれか。
| ア | 受容基準と比較できるように、各リスクのレベルを決定する必要がある。 |
| イ | 全ての情報資産を分析の対象にする必要がある。 |
| ウ | 特定した全てのリスクについて、同じ分析技法を用いる必要がある。 |
| エ | リスクが需要可能かどうかを決定する必要がある。 |
答え ア
【解説】
リスクアセスメントにおけるリスク分析は「リスクの性質を理解し、リスクのレベルを決定するプロセス」で、以下のような内容が含まれます。
- リスクの原因、原因、推進要因の特定
- 既存のコントロールの有効性の調査
- 起こりうる結果とその可能性の分析
- リスク間の相互作用と依存関係の理解
- リスクの尺度(レベル)の決定
- 結果の検証と妥当性確認
- 不確実性と感度(変動)の分析
【キーワード】
・リスクアセスメント
- リスクアセスメント(risk assessment)
組織や情報システムなどが内包している、リスクを洗い出し、そのリスクの大きさ(影響度)を評価し、そのリスクが許容できるかを判断するプロセスです。
許容できない場合には、リスク防止やリスク回避といった対策を行い、許容できる場合にはリスクが顕在化したときの対処手順を作成します。
もっと、「リスクアセスメント」について調べてみよう。
戻る
一覧へ
次へ