問題
テクノロジ系
問88 ISMS のリスクアセスメントにおいて,最初に行うものはどれか。
選択肢
- アリスク対応
- イリスク特定
- ウリスク評価
- エリスク分析
解説
正解:イ
概要
ISMSのリスクアセスメントは、情報セキュリティ上のリスクを把握して適切に管理するための手順です。
その最初の段階として、どの作業から始めるかを問う問題です。
正解の理由
リスクアセスメントは、まず「何がリスクになり得るか」を洗い出すリスク特定から始めます。
リスクを特定しないと、影響度や発生可能性を評価する対象が定まらず、以降の分析・評価や対応を進められません。
各選択肢の解説
ア(×): リスク対応は、評価した結果を踏まえて回避・低減・移転・受容などの方針を決め実施する段階であり、特定や評価の後に行います。
イ(〇): リスク特定は、情報資産に対する脅威や脆弱性、起こり得る事故などを洗い出してリスクを明確にする作業で、リスクアセスメントの最初に行います。
ウ(×): リスク評価は、分析結果を基にリスクの大きさを判定し、優先順位付けなどを行う段階であり、リスクを特定した後に実施します。
エ(×): リスク分析は、リスクの発生可能性や影響度などを見積もる作業で、リスクを特定してから行うため最初にはなりません。
ポイント
リスクアセスメントは「リスク特定→(分析)→評価」の順で進み、その結果を使ってリスク対応を決めます。
最初は必ず“洗い出し(特定)”から始まる点を押さえてください。