答え エ
【解説】
リスク分析の行い方は、まず分析対象の理解と分析計画(D)を行い、リスク分析の対象の情報システムについて調べます。
次に、情報システムを分析し、脆弱性の発見と識別(C)を行い、情報システムの弱いところを見つけます。
その後、事故様態の関連分析と損失額予想(B)で、弱いところにどういった問題が発生するのか、発生したときの損失額を算出します。
損失の分類と影響度の評価(@)を行い、予想される損失がどういった性質のもの(機会損失かどうかなど)であるか。また、その影響度を調べます。
最後に、対策の検討・評価と優先順位の決定(A)で、どのリスクにたいして対策を行うのか。また、対策を行わないのかを決めます。
したがって、D→C→B→@→A(エ)です。