情報システムのリスク分析に関する記述のうち、適切なものはどれか。
ア | リスクには、投機的リスクと純粋リスクがある。 情報セキュリティのためのリスク分析で対象とするのは、投機的リスクである。 |
イ | リスクの予想損失額は、損害予防のために投入されるコスト、復旧に要するコスト、及びほかの手段で業務を継続するための代替コストの合計で表される。 |
ウ | リスク分析では、現実に発生すれば損失をもたらすリスクが、情報システムのどこに、どのように潜在しているかを識別し、その影響の大きさを測定する。 |
エ | リスクを金額で測定するリスク評価額は、損害が現実になった場合の1回当たりの平均予想損失額で表される。 |
答え ウ
【解説】
ア | 情報セキュリティのリスク分析で対象とするのは純粋リスクです。 純粋リスク:リスクが顕在化することで損失のみが発生するもの。 投機的リスク:リスクが顕在化によって損失または利得が発生するもの。 |
イ | リスクの予想損失額に、損害予防のために投入するコストは含めません。 |
ウ | リスク分析では、損失をもたらすリスクが、情報システムの何処にどのように潜在しているかを識別し、顕在化したときの影響の大きさを測定(予測)します。 |
エ | リスク評価額は1回当たりの予想損失額に、そのリスクが発生する頻度(割合)を掛けて求めます。 |
【キーワード】
・リスク分析