情報セキュリティマネジメント平成29年春期 午前問6
問6
JIS Q 31000:2010(リスクマネジメント-原則及び指針)において,リスクマネジメントは,"リスクについて組織を指揮統制するための調整された活動"と定義されている。そのプロセスを構成する活動の実行順序として,適切なものはどれか。
- リスク特定→リスク対応→リスク分析→リスク評価
- リスク特定→リスク分析→リスク評価→リスク対応
- リスク評価→リスク特定→リスク分析→リスク対応
- リスク評価→リスク分析→リスク特定→リスク対応
分類
テクノロジ系 » セキュリティ » 情報セキュリティ管理
正解
イ
解説
JIS Q 31000:2010によれば、リスクマネジメントにおける4つのプロセスでは、それぞれ次のようなプロセスです。
- リスク特定
- リスクを発見、認識及び記述するプロセス。
- リスク分析
- リスクの特質を理解し、リスクレベルを決定するプロセス。
- リスク評価
- リスク及び/又は大きさが、受容可能か又は許容可能かを決定するために、リスク分析の結果をリスク基準と比較するプロセス。
- リスク対応
- リスクを修正するプロセス。リスク分析・リスク評価の結果明らかになったリスクに対して対応方法を講じる。リスクの大きさ、顕在化の可能性、情報 資産の重要度、予算などを踏まえて最適な対応策をとることが重要となる。