2021年 ITパスポート問99

情報セキュリティのリスクマネジメントにおいて、リスク移転、リスク回避、リスク低減、エリスク保有などが分類に用いられることがある。これらに関する記述として、適切なものはどれか。

　ア

　リス対応において、リスクの対応を分類したものであり、リスクの顕在化に備えて保険を掛けることは、リスク移転になる。

　イ

　リスク特定において、保有資産の使用目的を分類したものであり、マルウェア対策ソフトのような情報セキュリティ対策で使用される資産は、リスク低減に分類される。

　ウ

　リスク評価において、リスク評価方法を分類したものであり、管理対象の試算が持つリスクについて、それを回避することが可能かどうかで評価することは、リスク回避に分類される。

　エ

　リスク分析において、リスクの分析手法を分類したものであり、管理対象の資産が持つ脆(ぜい)弱性を客観的な数値で表す手法は、リスク保有に分類される。

答え　ア

【解説】
情報セキュリティのリスクマネジメントは、リス対応において、リスクの対応を分類したものになります。
リスクの中でもマイナスのリスクの対応策としては

があります。

【キーワード】
・リスクマネジメント

キーワードの解説

リスクマネジメント(risk management)
発生(顕在化)する恐れのあるリスク(不確実性)を把握、特定し、そのリスクの発生頻度と影響度から評価を行い、対策を講じることです。
リスクには良いほうに影響する場合のプラスのリスクと、悪いほうに影響するマイナスのリスクがあり、それぞれの対策には

プラスのリスク
- 活用:リスクが顕在化しやすいようにします。
- 共有:同じリスクを他の場合でも保有するようにします。
- 強化:リスクが顕在化したときの影響が大きくなるようにします。
- 保有(受容):何もせず、発生したリスクを受け入れる。
マイナスのリスク
- 移転(転嫁):リスクが発生した場合の責任所在を他者に移す。
- 回避:リスクのある事業から撤退する。
- 低減:リスクが発生しても被害が少なくなるような対策を取る。
- 保有(受容):何もせず、発生したリスクを受け入れる。

があります。

2021年 ITパスポート 問99