平成21年 春期 情報セキュリティスペシャリスト 午前II 問8

情報システムのリスク分析に関する記述のうち、適切なものはどれか。

 ア  リスクには、投機的リスクと純粋リスクがある。
情報セキュリティのためのリスク分析で対象とするのは、投機的リスクである。
 イ  リスクの予想損失額は、損害予防のために投入されるコスト、復旧に要するコスト、及びほかの手段で業務を継続するための代替コストの合計で表される。
 ウ  リスク分析では、現実に発生すれば損失をもたらすリスクが、情報システムのどこに、どのように潜在しているかを識別し、その影響の大きさを測定する。
 エ  リスクを金額で測定するリスク評価額は、損害が現実になった場合の1回当たりの平均予想損失額で表される。


答え ウ


解説

 ア  情報セキュリティのリスク分析で対象とするのは純粋リスクです。
純粋リスク:リスクが顕在化することで損失のみが発生するもの。
投機的リスク:リスクが顕在化によって損失または利得が発生するもの。
 イ  リスクの予想損失額に、損害予防のために投入するコストは含めません。
 ウ  リスク分析では、損失をもたらすリスクが、情報システムの何処にどのように潜在しているかを識別し、顕在化したときの影響の大きさを測定(予測)します。
 エ  リスク評価額は1回当たりの予想損失額に、そのリスクが発生する頻度(割合)を掛けて求めます。


キーワード
・リスク分析

キーワードの解説
  • リスク分析(risk analysis)
    リスクの原因となるリスク因子を特定し、見つかったリスク因子の影響度(深刻度)を想定し、リスクが発生したときの被害を見積もることです。
    情報システムにおいては、リスク分析を行い、対策を想定するリスク管理(risk management)を行うことは必須です。

もっと、「リスク分析」について調べてみよう。

戻る 一覧へ 次へ