リスクとは、情報資産に対する脅威と脆弱性により発生するもので、その危険度によりメリハリのある投資を行うことで、効率的なセキュリティ管理を行うことができます。
リスクマネジメントとは、主にリスクの評価を行うリスクアセスメントと、リスクアセスメントによって評価されたリスクに対してどのような対策を講じるかを決めるリスク対応など、一連のプロセスをいいます。
リスクマネジメントに関する標準規約としてJIS Q 31000があります。JIS Q 31000は、リスクを識別、管理していくためのプロセスと、それを行っていくための組織作りや継続的改善のフレームワークが示されています。
平成29年度 春期 情報セキュリティマネジメント試験 午前
JIS Q 31000:2010(リスクマネジメントー原則及び指針)の3項「原則」で「リスクマネジメントを効果的なものにするために、組織は、次の原則を全ての階層で順守することが望ましい」としています。
ア リスクマネジメントは、静的であり、変化が生じたときに終了する。
「J)リスクマネジメントは、動的で、繰り返し行われ、変化に対応する。(後略)」とあり、誤りです。
イ リスクマネジメントは、組織に合わせて作られる。
これが正解です。
ウ リスクマネジメントは、組織の主要なプロセスから分離した単独の活動である。
「b)リスクマネジメントは、組織のすべてのプロセスにおいて不可欠な部分である。リスクマネジメントは、組織の主要な活動及びプロセスから切り離された単独の活動ではない(中略)」とあり、誤りです。
エ リスクマネジメントは、リスクが顕在化した場合を対象とする。
「d)(中略)リスクが顕在化した場合だけでなく、リスクが顕在化するかどうか不確かな状況であっても、対象とすることがある。(中略)」とあり、誤りです。