JIS Q 27001において、リスクを受容するプロセスに求められるものはどれか。
ア | 受容するリスクについては、リスク所有者が承認すること |
イ | 受容するリスクをモニタリングやレビューの対象外とすること |
ウ | リスクの受容は、リスク分析前に行うこと |
エ | リスクを受容するかどうかは、リスク対応後に決定すること |
答え ア
【解説】
リスクマネジメントでは、方針の策定を行う「リスクマネジメント計画」、起り得るリスクの洗い出しを行う「リスク識別」、識別したリスクの重み付けを行う「定性的リスク分析」、優先リスクの詳細分析を行う「定量的リスク分析」、リスクへの対応策の決定を行う「リスク対応計画」、リスク対応の進捗を監視する「リスクの監視コントロール」のプロセスで行い、リスク発生時の影響の小さいものについては対策を行わないリスク受容を行いますが、このとき受容するリスクについては、リスク所有者が承認すること(ア)が必要です。
【キーワード】
・リスクマネジメント