【Iパス5問】リスクアセスメント3+リスク対応で4用語!
リスクマネジメントは、対応策を検討する前に「リスクアセスメント」をします。リスクアセスメント後に「リスク対応」にて対応策を決めます。
このNoteでは、リスクアセスメントは平成31年度~令和5年度の6回のうち、5問出題されています。また、リスク対応と併せると確実に1~2問が出題されます。
リスクアセスメントは3つのプロセスなので「3用語」、更にリスク対応を加えて「4用語」になるため、4択問題のITパスポートと相性が良いです。
>>リスク対応の対策Note<< と併せて、しっかり対策して得点を積み上げてくださいね。
なお、このNoteは私が専門学校で教えてきた指導経験と970点合格をした実績に基づいていますので、ちょっとでも信用してくれたら嬉しいです。
\全てのNoteへのリンク集/
リスクアセスメントの基礎
リスクアセスメントは、3つのプロセスで構成されます。
リスク特定:リスクを発見して特定します
リスク分析:起こる確率や損害規模などを見積もる
リスク評価:分析結果から、事前に決めたリスク基準と比較して、優先順位をつける
以上のリスクアセスメント3つの後に、リスク対応をします。>>リスク対応の対策Note<<
リスクマネジメントにおける、リスクアセスメントに含まれるものだけを全て挙げたものはどれか。
a:脅威や脆弱性からリスクレベルを決定する
b:リスクとなる要因を特定する
c:リスクにどう対応するか決定する
d:リスクに対応する優先順を決定する
ア:a, b イ:a, b, d ウ:a, c, d エ:c, d
aは「リスクレベルを決定」からリスク分析。
bは「要因を特定」よりリスク特定。
cは「どのように対応するか」よりリスク対応です。リスクアセスメントには含まれません。アセスメントの後に行います。
dは「優先順位を決定」よりリスク評価。
以上より、a, b, dが適切であり、正答はイ。
リスクアセスメントの構成や順番
リスクアセスメント3つ(特定→分析や→評価)の後にリスク対応をします。リスク対応にて4つの対応方法を判断します。
リスクアセスメントで最初に行うのはどれか。
ア:リスク対応
イ:リスク特定
ウ:リスク評価
エ:リスク分析
正答はイ。
リスクアセスメントに含まれるものだけを全て挙げたものはどれか。
a:リスク特定
b:リスク分析
c:リスク評価
d:リスク対応
ア:a, b
イ:a, b, c
ウ:b, c, d
エ:c, d
正答はイ。
特定→分析→評価なのでa, b, cが適切。
リスクアセスメントの3つのプロセスは、リスクの特定・リスクの評価とどれか。
ア:リスクの移転
イ:リスクの回避
ウ:リスクの低減
エ:リスクの分析
正答はエ。
なお、「移転」「回避」「低減」に「受容」を加えた4つは、リスク対応の分類です。>>リスク対応の対策Note<<
リスクアセスメントのリスク分析の記述はどれか。
ア:受容基準と比較できるように、各リスクのレベルを決定する必要がある
イ:全ての情報資産を分析対象にする必要がある
ウ:特定した全てのリスクについて、同じ分析手法を用いる必要がある
エ:リスクが受容できるかどうかを決定する必要がある
正答はア。
イは「全ての情報資産」が少しひっかかります。リスクがない資産は分析対象外にして構いません。
ウは「全てのリスク」に「同じ分析手法を用いる」がひっかかります。リスクの性質に応じて手法を変えたり、手法を組み合わせたりします。
エについて、リスク受容するかは、リスク対応と判断します。
まとめ
前回のリスク対応と同じで、簡単だったかもですね。
リスクアセスメントは、特定で洗い出し、分析で確率や規模を見積もり、評価で基準と比較して優先順位を決める工程でした。その後にリスク対応にて具体的な検討をします。
>>リスク対応の対策Note<< と併せて、しっかり対策して得点を積み上げてくださいね。
\全てのNoteへのリンク集/
p.s. 普段は >> 専門学校とIT就職のブログ << をやってます。
でわでわ(・ω・▼)ノシ
学習方法・問題特集のNoteは全て無料提供を続けます▼ もしご覧になったNoteが有益だったり、私の志に共感されたりしましたら、サポート頂けますと励みになります▼ もちろんコメントでも結構です(・ω・▼)ノシ