※本情報は解説作成時点のもので、閲覧時点では法改正等により情報が変更になっている場合がございます。あらかじめご理解いただければ幸いです。
正解は「B.リスク特定、リスク分析、リスク評価」です。
JIS Q 31000:2019において、リスクアセスメントは「リスク特定」「リスク分析」「リスク評価」の3つのプロセスで構成されます。
この記事では、情報セキュリティマネジメント(SG)試験(令和6年度)で出題された過去問の第1問「リスクアセスメントの構成」について、試験対策の観点からわかりやすく解説します。
Contents
リスクアセスメントとは
リスクアセスメント=特定→分析→評価
JIS Q 31000:2019(リスクマネジメント-指針)では、リスクアセスメントはリスクマネジメントプロセスの中核を成す活動とされています。まずリスクを洗い出し(特定)、その内容や影響度を明確にし(分析)、対応の要否を判断する(評価)という流れです。
各プロセスの内容
- リスク特定:目的達成を妨げる事象を洗い出す
- リスク分析:発生可能性や影響度を明確にする
- リスク評価:分析結果を基に対応の優先度を決定する
これら3つがリスクアセスメントを構成します。
他の選択肢との違い
「リスク対応」や「リスク受容」は、リスクアセスメント後のリスク対応プロセスに含まれる概念です。
リスクアセスメント自体には含まれません。
気を付けてほしい点(勘違いしやすいポイント)
- リスクアセスメントとリスク対応を混同しない
- “分析”と“評価”は別プロセスである
補足
試験では用語の定義を正確に区別できるかが重要です。順序も含めて整理しておきましょう。
情報セキュリティマネジメント(SG)試験での出題パターン
情報セキュリティマネジメント(SG)試験では、JISやISO規格に基づくリスクマネジメント用語が頻出です。
定義をそのまま答えられるレベルまで理解しておくことが重要です。
この知識が使われている問題
まとめ
- リスクアセスメントは「特定・分析・評価」
- リスク対応や受容は別プロセス