予想問題vol.4 問34

問34

リスクアセスメントに関する記述のうち,適切なものはどれか。
  • 以前に洗い出された全てのリスクへの対応が完了する前にリスクアセスメントを実施することは避ける。
  • 将来の損失を防ぐことがリスクアセスメントの目的なので,過去のリスクアセスメントで利用されたデータを参照することは避ける。
  • 損失額と発生確率の予測に基づくリスクの大きさに従うなどの方法で,対応の優先順位を付ける。
  • リスクアセスメントはリスクが顕在化してから実施し,損失額に応じて対応の予算を決定する。
  • [出典]
  • 基本情報技術者 H26秋期 問39

分類

テクノロジ系 » セキュリティ » 情報セキュリティ管理

正解

解説

リスクアセスメント(Risk Assessment)は、リスクマネジメントにおける「リスクの特定」から「リスクの評価」までの一連の活動です。
34.gif/image-size:319×171

発見されたリスクのすべてに対策を行うことは現実的ではないので、通常はリスクに優先順位をつけて対応を行います。リスクが顕在化した場合の損害額と、そのリスクが発生する確率を勘案して優先度の根拠となるリスクレベルの決定を行うのがリスク分析です。
  • リスクアセスメントは組織内のリスクに変化が生じたときや、定期的に実施します。
  • 過去のデータが蓄積されている場合には、それを活用することで有効なリスクアセスメントにすることができます。
  • 正しい。
  • リスクアセスメントは組織に潜在しているリスクを把握し、リスクを最適化するために実施されます。
© 2015-2019 情報セキュリティマネジメント試験ドットコム All Rights Reserved.

Pagetop