※本情報は解説作成時点のもので、閲覧時点では法改正等により情報が変更になっている場合がございます。あらかじめご理解いただければ幸いです。
正解は「D.リスク分析の意義は、必要に応じてリスクのレベルを含め、リスクの性質及び特徴を理解することである。」です。
JIS Q 31000:2019におけるリスクマネジメントプロセスでは、リスク分析とは、リスクの性質や特徴を理解し、必要に応じてリスクのレベルを明らかにする活動をいいます。
この記事では、情報セキュリティマネジメント(SG)試験(令和7年度)で出題された第1問「JIS Q 31000:2019におけるリスクマネジメントプロセス」について、試験対策の観点からわかりやすく解説します。
Contents
リスク分析とは
リスク分析=リスクの性質・特徴を理解し、必要に応じてリスクレベルを明確にすること
JIS Q 31000:2019では、リスクマネジメントプロセスとして「リスク特定」「リスク分析」「リスク評価」「リスク対応」などを定義しています。
このうちリスク分析は、特定されたリスクについて、その原因・結果・発生可能性・影響度などを検討し、リスクの大きさ(レベル)を把握する段階です。
他の選択肢との違い
- A:プロセスの質及び効果を保証・改善するのは「監視及びレビュー」に関する説明であり、リスク対応の定義ではない。
- B:リスクに対処するための選択肢を選定・実施するのは「リスク対応」の説明であり、リスク特定ではない。
- C:組織の目的の達成を助ける又は妨害する可能性のあるリスクを発見・認識・記述するのは「リスク特定」の説明であり、リスク評価ではない。
用語とその定義を正確に対応付けることが重要です。
問われているポイント
この問題では、JIS Q 31000に定められたリスクマネジメントプロセスの各用語の意味を正確に理解しているかが問われています。
「特定」「分析」「評価」「対応」の違いを整理して覚えることが得点の鍵です。
気を付けてほしい点(勘違いしやすいポイント)
- リスク特定とリスク分析を混同しやすい
- リスク評価は分析結果を基に対応の要否を判断する段階である
補足
SG試験では、用語の入れ替え問題が頻出です。定義文レベルで正確に押さえておきましょう。
情報セキュリティマネジメント(SG)試験での出題パターン
JISやISO規格に基づくマネジメントの基本概念が出題されます。
条文の趣旨を踏まえた用語理解が重要です。
この知識が使われている問題
まとめ
- リスク分析はリスクの性質・特徴を理解する段階
- 必要に応じてリスクレベルを明確にする
- 各プロセスの定義を正確に区別することが重要