問題
テクノロジ系
問91 次の作業a~dのうち,リスクマネジメントにおける,リスクアセスメントに含まれるものだけを全て挙げたものはどれか。 a. 脅威や脆弱性などを使ってリスクレベルを決定する。 b. リスクとなる要因を特定する。 c. リスクに対してどのように対応するかを決定する。 d. リスクについて対応する優先順位を決定する。
選択肢
- アa, b
- イa, b, d
- ウa, c, d
- エc, d
解説
正解:イ
概要
リスクマネジメントでは、リスクを把握して優先度を付ける「リスクアセスメント」と、方針を決めて実施する「リスク対応」を区別します。
作業a~dのうち、リスクアセスメントに含まれるものを判定する問題です。
正解の理由
リスクアセスメントには、リスクの要因を洗い出すリスク特定と、脅威・脆弱性などからリスクレベルを求める分析・評価、そして対応の優先順位付けが含まれます。
一方、対応方法を決める作業はリスク対応に当たり、リスクアセスメントには含まれません。
各選択肢の解説
ア(×): aとbはリスク特定とリスクレベル決定に当たりリスクアセスメントに含まれますが、dの優先順位付けもリスク評価の結果として行うため不足です。
イ(〇): bでリスク要因を特定し、aで脅威や脆弱性などを用いてリスクレベルを決め、dで対応の優先順位を決めるのはリスクアセスメントの範囲なので正しいです。
ウ(×): cの対応方法の決定はリスク対応でありリスクアセスメントに含まれないため、この組合せは誤りです。
エ(×): cはリスク対応でありリスクアセスメント外なので誤りで、またaやbが含まれていない点でも不適切です。
ポイント
リスクアセスメントは「特定(b)→分析・評価(a)→優先順位付け(d)」で、対応方針の決定(c)はリスク対応です。
“決める対象がリスクの大きさか、対応策か”で切り分けて覚えてください。