平成29年 春期 情報セキュリティマネジメント 午前 問5

JIS Q 31000:2010(リスクマネジメント−原則及び指針)において、リスクマネジメントを効果的なものにするために、組織が順守することが望ましいこととして挙げられている原則はどれか。

 ア  リスクマネジメントは、静的であり、変化が生じたときに終了する。
 イ  リスクマネジメントは、組織に合わせて作られる。
 ウ  リスクマネジメントは、組織の主要なプロセスから分離した単独の活動である。
 エ  リスクマネジメントは、リスクが顕在化した場合を対象とする。


答え イ


解説
JIS Q 31000:2010(リスクマネジメント−原則及び指針)に「リスクマネジメントを効果的なものにするために、組織は、次の原則をすべての階層で順守することが望ましい」と書かれています。

  1. リスクマネジメントは、価値を創造し、保護する。
    リスクマネジメントは、安全衛生、保安、法律及び規制の順守、社会的受容、環境保護、製品品質、統治、世評などの、目的の明確な達成及びパフォーマンスの改善に寄与する。
  2. リスクマネジメントは、組織のすべてのプロセスにおいて不可欠な部分である。
    リスクマネジメントは、組織の主要な活動及びプロセスから切り離された単独の活動ではない。
    リスクマネジメントは、経営の責任の一部であり、戦略的な計画策定、並びにプロジェクトマネジメント及び変更マネジメントのすべてのプロセスを含む、組織のすべてのプロセスにおいて不可欠な部分である。
  3. リスクマネジメントは、意思決定の一部である。
    リスクマネジメントは、意思決定者が情報に基づいた選択を行い、活動の優先順位付けを行い、活動の選択肢を見分けることを援助する。
  4. リスクマネジメントは、不確かさに明確に対処する。
    リスクマネジメントは、不確かさ及びその特質並びに不確かさへの対処について、明確に考慮する。
  5. リスクマネジメントは、体系的かつ組織的で、時宜を得たものである。
    リスクマネジメントの体系で、時宜を得た組織的な取組みは、効率及び一貫性があり、比較可能な信頼できる結果に寄与する。
  6. リスクマネジメントは、最も利用可能な情報に基づくものである。
    リスクの運用管理のプロセスへのインプットは、過去のデータ、経験、ステークホルダからのフィードバック、観察所見、予測、専門家の判断などの情報源に基づくものである。
    しかし、意思決定者は、利用するデータ又はモデルの あらゆる限界、及び専門家の間の見解の相違の可能性について自ら認識し、これらを考慮に入れることが望ましい。
  7. リスクマネジメントは、組織に合わせて作られる。
    リスクマネジメントは、組織が置かれている外部及び内部の状況、並びにリスク特徴と整合する。
  8. リスクマネジメントは、人的及び文化的要素を考慮に入れる。
    リスクマネジメントでは、組織の目的の達成を促進又は妨害することがある外部及び内部の人々の様々な能力、認知及び意図を認識する。
  9. リスクマネジメントは、透明性があり、かつ、包含的である。
    ステークホルダ及び特に組織のすべての階層における意思決定者の適切かつ時宜を得た参画によって、リスクマネジメントが現況に即し、最新なものであり続けることを確実にする。
    また、参画はステークホルダの立場を適切に反映し、リスク基準を決定する場合に、ステークホルダの見解に配慮することを可能とする。
  10. リスクマネジメントは、動的で、繰り返し行われ、変化に対応する。
    リスクマネジメントは、継続的に変化を察知し、対応する。
    それは、外部及び内部で事象が発生し、状況及び知識が変化し、モニタリング及びレビューが実施されるにつれて、新たなリスクが発生したり、また、既存のリスクの中には変化したり、又はなくなったりするものがあるからである。
  11. リスクマネジメントは、組織の継続的改善を促進する。
    組織は、自らのリスクマネジメントの成熟度を改善するために、他のすべての側面とともに、戦略を策定し、実践することが望ましい。


キーワード
・リスクマネジメント

キーワードの解説
  • リスクマネジメント(risk management)
    発生(顕在化)する恐れのあるリスクを把握、特定し、そのリスクの発生頻度と影響度から評価を行い、対策を講じることです。
    対策には
    • 移転(転嫁):リスクが発生した場合の責任所在を他者に移す。
    • 回避:リスクのある事業から撤退する。
    • 低減(軽減):リスクが発生しても被害が少なくなるような対策を取る。
    • 保有(受容):何もせず、発生したリスクを受け入れる。
    があります。

もっと、「リスクマネジメント」について調べてみよう。

戻る 一覧へ 次へ