平成30年秋期情報セキュリティマネジメント午前問7

JIS Q 27000:2014(情報セキュリティリスクマネジメントシステム－用語)におけるリスク分析の定義はどれか。

　ア

　適切な管理策を採用し、リスクを修正するプロセス

　イ

　リスクが受容可能か又は許容可能かを決定するために、リスク及びその大きさをリスク基準と比較するプロセス

　ウ

　リスクの特質を理解し、リスクレベルを決定するプロセス

　エ

　リスクを発見、認識及び記述するプロセス

答え　ウ

【解説】

ア	適切な管理策を採用し、リスクを修正するプロセスは、リスク対応です。
イ	リスクが受容可能か又は許容可能かを決定するために、リスク及びその大きさをリスク基準と比較するプロセスは、リスク評価です。
ウ	リスクの特質を理解し、リスクレベルを決定するプロセスは、リスク分析です。
エ	リスクを発見、認識及び記述するプロセスは、リスク特定です。

【キーワード】
・リスク分析

キーワードの解説

リスク分析(risk analysis)
リスクの原因となるリスク因子を特定し、見つかったリスク因子の影響度(深刻度)を想定し、リスクが発生したときの被害を見積もることです。
情報システムにおいては、リスク分析を行い、対策を想定するリスク管理(risk management)を行うことは必須です。

平成30年 秋期 情報セキュリティマネジメント 午前 問7