オリジナル予想問題4 問34

リスクアセスメントに関する記述のうち,適切なものはどれか。

  • 以前に洗い出された全てのリスクへの対応が完了する前にリスクアセスメントを実施することは避ける。
  • 将来の損失を防ぐことがリスクアセスメントの目的なので,過去のリスクアセスメントで利用されたデータを参照することは避ける。
  • 損失額と発生確率の予測に基づくリスクの大きさに従うなどの方法で,対応の優先順位を付ける。
  • リスクアセスメントはリスクが顕在化してから実施し,損失額に応じて対応の予算を決定する。
正解 問題へ
分野:テクノロジ系
中分類:セキュリティ
小分類:情報セキュリティ管理
解説
リスクアセスメント(Risk Assessment)は、リスクマネジメントにおける「リスクの特定」から「リスクの評価」までの一連の活動です。
34.gif

発見されたリスクのすべてに対策を行うことは現実的ではないので、通常はリスクに優先順位をつけて対応を行います。リスクが顕在化した場合の損害額と、そのリスクが発生する確率を勘案して優先度の根拠となるリスクレベルの決定を行うのがリスク分析です。
  • リスクアセスメントは組織内のリスクに変化が生じたときや、定期的に実施します。
  • 過去のデータが蓄積されている場合には、それを活用することで有効なリスクアセスメントにすることができます。
  • 正しい。
  • リスクアセスメントは組織に潜在しているリスクを把握し、リスクを最適化するために実施されます。

出典


Pagetop