ITパスポート過去問 令和3年度(2021年)問88
ISMSのリスクアセスメントにおいて,最初に行うものはどれか。
選択肢
- ア:リスク対応
- イ:リスク特定
- ウ:リスク評価
- エ:リスク分析
- ア
- イ
- ウ
- エ
正解と解き方・学習ポイント(AI解説)
ISMSのリスクアセスメントは、リスク特定、リスク分析、リスク評価の順で進めるのが基本です。最初に行うのは、情報資産にどのようなリスクがあり得るかを洗い出すリスク特定です。リスク対応は、リスクアセスメントの結果を受けて対策を選び実施する工程であり、リスクアセスメントの外側に位置付けられます。
Point
この問題は、ISMSにおけるリスクアセスメントの構成要素と、実施順序を理解できているかを確認するものです。特に、リスクアセスメントがリスク特定、リスク分析、リスク評価で構成され、リスク対応とは区別される点が問われています。
解くために必要な知識
この問題を解くには、ISMSにおけるリスクアセスメントの工程名と実施順序を理解している必要があります。
用語の整理
リスクアセスメントの全体像
リスクアセスメントは、次の順序で行うのが基本です。
-
リスク特定
-
リスク分析
-
リスク評価
各用語の意味
| 用語 | 意味 |
|---|---|
| ISMS(情報セキュリティマネジメントシステム) | 組織の情報資産を保護するための管理の仕組みです。一般にISO/IEC 27001などの考え方に基づきます。 |
| リスクアセスメント | リスク特定、リスク分析、リスク評価をまとめた活動です。 |
| リスク特定 | 情報資産に対して、どのようなリスクが存在し得るかを洗い出す活動です。例として、脅威、脆弱性、想定される事故、対象範囲の資産などを整理します。 |
| リスク分析 | 特定したリスクについて、発生可能性や影響の大きさなどを把握する活動です。 |
| リスク評価 | 分析結果を基に、どのリスクを優先して扱うかを決める活動です。受容の可否や優先順位付けを行います。 |
| リスク対応 | リスク評価の結果を受け、リスク低減などの対応方針を選び、対策を計画し実施する活動です。一般にリスクアセスメントの後段に位置付けられます。 |
| リスクマネジメント | リスクアセスメントとリスク対応を含む、リスクに対処する活動全体です。 |
選択肢ごとの解説
- ア:不正解
リスク対応は、リスクアセスメント(特定、分析、評価)の結果を受けて対策を決め、実施する段階です。最初に行う作業ではありません。
- イ:正解
リスク特定は、情報資産にどのような脅威や脆弱性があるかを洗い出す作業です。対象となるリスクが分からないと分析や評価ができないため、最初に行います。
- ウ:不正解
リスク評価は、リスク分析の結果を基にリスクの優先順位付けなどを行う工程です。順序としては後になります。
- エ:不正解
リスク分析は、リスク特定で洗い出したリスクを対象に、発生可能性や影響度を見積もる作業です。リスク特定の後に行います。
まとめ
ISMSのリスクアセスメントは、リスク特定、リスク分析、リスク評価の順で進めるのが基本です。最初に行うのは、情報資産にどのようなリスクがあり得るかを洗い出すリスク特定です。リスク対応は、リスクアセスメントの結果を受けて対策を選び実施する工程であり、リスクアセスメントの外側に位置付けられます。
テクノロジ系 > 技術要素 > セキュリティ
リスク対応は、リスクアセスメント(特定、分析、評価)の結果を受けて対策を決め、実施する段階です。最初に行う作業ではありません。
リスク特定は、情報資産にどのような脅威や脆弱性があるかを洗い出す作業です。対象となるリスクが分からないと分析や評価ができないため、最初に行います。
リスク評価は、リスク分析の結果を基にリスクの優先順位付けなどを行う工程です。順序としては後になります。
リスク分析は、リスク特定で洗い出したリスクを対象に、発生可能性や影響度を見積もる作業です。リスク特定の後に行います。