問題
問91 情報セキュリティのリスクマネジメントにおけるリスク対応を,リスク移転,リスク回避,リスク低減及びリスク保有の四つに分けて実施することにしたとき,これらに関する記述として,適切なものはどれか。
選択肢
- アリスク対応の実施手順であり,リスク回避,リスク移転,リスク低減,リスク保有の順番で進める。
- イリスク対応の実施手順であり,リスク保有,リスク低減,リスク移転,リスク回避の順番で進める。
- ウリスク対応の選択肢であり,管理対象としたリスクの顕在化に備えて保険を掛けておくことは,リスク回避に該当する。
- エリスク対応の選択肢であり,ノートPCの紛失や盗難に備えて社外への持出しをより厳重に管理することは,リスク低減に該当する。
解説
正解:エ
概要
この問題は、情報セキュリティのリスクマネジメントにおける代表的なリスク対応方法である「リスク回避」「リスク低減」「リスク移転」「リスク保有」の意味を理解しているかを問うものです。各対応策の具体例を正しく判断することがポイントです。
正解の理由
リスク低減とは、リスクが発生する可能性や影響を小さくするための対策を行うことです。ノートPCの紛失や盗難による情報漏えいのリスクを減らすために、社外への持ち出し管理を厳しくすることはリスクの発生確率を下げる対策であり、リスク低減に該当します。そのためこの選択肢が正解です。
各選択肢の解説
ア(×): リスク回避・リスク移転・リスク低減・リスク保有は、リスク対応の実施手順ではなく、リスクに対処するための選択肢です。特定の順序で実施するものではないため、この説明は誤りです。
イ(×): リスク保有・リスク低減・リスク移転・リスク回避という順序も、リスク対応の実施手順として定められているものではありません。これらは状況に応じて選択される対応方法であり、順番に進めるものではないため誤りです。
ウ(×): 保険に加入してリスクの損失を他者に負担してもらう方法はリスク移転に該当します。リスク回避ではないため、この説明は誤りです。
エ(〇): ノートPCの社外持ち出しを厳しく管理することで、紛失や盗難の発生確率を下げることができます。このようにリスクの発生可能性や影響を小さくする対策はリスク低減に該当するため正しい説明です。
ポイント
リスク回避はリスクの原因を排除すること、リスク低減は発生確率や影響を小さくすること、リスク移転は保険などで第三者に負担させること、リスク保有はリスクを受け入れることです。