情報処理安全確保支援士 2011年 秋期 午前2 問25
問題文
ISMSにおけるリスク分析手法の一つである “詳細リスク分析” で行う作業はどれか。
選択肢
ア:情報セキュリティポリシの作成
イ:セーフガードの選択
ウ:リスクの評価(正解)
エ:リスクの容認
ISMSにおけるリスク分析手法の一つである “詳細リスク分析” で行う作業はどれか【午前2 解説】
要点まとめ
- 結論:詳細リスク分析では「リスクの評価」を行い、リスクの大きさや影響度を具体的に判断します。
- 根拠:ISMSのリスクマネジメントプロセスでは、リスクの特定後に詳細な評価を行い、適切な対応策を検討するためです。
- 差がつくポイント:リスク分析の段階ごとの役割を正確に理解し、評価と対策選択の違いを区別できることが重要です。
正解の理由
詳細リスク分析は、特定したリスクの発生可能性や影響度を定量的または定性的に評価し、リスクの大きさを明確にする作業です。これにより、どのリスクに優先的に対応すべきか判断できます。選択肢の中で「リスクの評価」に該当するのはウであり、詳細リスク分析の本質的な作業内容と一致します。
よくある誤解
リスク分析とリスク対応の作業を混同し、詳細リスク分析でセーフガードの選択やリスクの容認を行うと誤解されがちです。これらは評価後の段階で行う作業です。
解法ステップ
- ISMSのリスクマネジメントプロセスを理解する(特定→分析→評価→対応)。
- 「詳細リスク分析」がリスク分析の中でも評価に該当することを確認する。
- 選択肢の意味を整理し、評価に該当するものを選ぶ。
- 対応策の選択やリスク容認は評価後の段階であることを認識する。
- 正解は「リスクの評価」であるウを選択する。
選択肢別の誤答解説
- ア: 情報セキュリティポリシの作成はリスク分析の前段階であり、詳細リスク分析の作業ではありません。
- イ: セーフガードの選択はリスク評価後のリスク対応段階で行うため、詳細リスク分析の作業ではありません。
- ウ: リスクの評価は詳細リスク分析の中心作業であり、リスクの大きさを判断する重要な工程です。
- エ: リスクの容認はリスク対応の一つであり、評価後に経営判断として行うため詳細リスク分析の作業ではありません。
補足コラム
ISMS(情報セキュリティマネジメントシステム)におけるリスクマネジメントは、リスクの特定、分析、評価、対応、監視のサイクルで構成されます。詳細リスク分析はこの中の「分析」と「評価」に該当し、リスクの具体的な影響度や発生確率を明確にすることで、効果的なセーフガードの選択につながります。
FAQ
Q: 詳細リスク分析とリスク評価は同じですか?
A: 詳細リスク分析はリスクの分析と評価を含みますが、特にリスクの大きさを判断する評価が重要な作業です。
A: 詳細リスク分析はリスクの分析と評価を含みますが、特にリスクの大きさを判断する評価が重要な作業です。
Q: セーフガードの選択はいつ行いますか?
A: リスク評価の結果を踏まえ、リスク対応段階で適切なセーフガードを選択します。
A: リスク評価の結果を踏まえ、リスク対応段階で適切なセーフガードを選択します。
Q: リスクの容認とは何ですか?
A: リスクの容認は、リスクが許容範囲内であると判断し、特別な対応を行わない決定を指します。
A: リスクの容認は、リスクが許容範囲内であると判断し、特別な対応を行わない決定を指します。
関連キーワード: ISMS, リスク分析、リスク評価、セーフガード、情報セキュリティマネジメント
\ せっかくなら /
情報処理安全確保支援士を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!