問91の正解: エテクノロジ系/セキュリティ
情報セキュリティのリスクマネジメントにおけるリスク対応を、リスク移転、リスク回避、リスク低減及びリスク保有の四つに分けて実施することにしたとき、これらに関する記述として、適切なものはどれか。
この設問が問うていること
リスクマネジメントにおけるリスク対応の4つのアプローチの定義について問う設問です。
アリスク対応の実施手順であり、リスク回避、リスク移転、リスク低減、リスク保有の順番で進める。
選択肢アの解説: 4大リスク対応は手順(順番)ではなく、リスクの度合いに応じて選択する「選択肢」であるため不適切です。
イリスク対応の実施手順であり、リスク保有、リスク低減、リスク移転、リスク回避の順番で進める。
選択肢イの解説: aと同様に、対応の優先順位や手順を定めたものではないため不適切です。
ウリスク対応の選択肢であり、管理対象としたリスクの顕在化に備えて保険を掛けておくことは、リスク回避に該当する。
選択肢ウの解説: 保険を掛けることは、損失を保険会社等に肩代わりしてもらう「リスク移転(またはリスク共有)」に該当するため不適切です。
エリスク対応の選択肢であり、ノート PC の紛失や盗難に備えて社外への持出しをより厳重に管理することは、リスク低減に該当する。正解
選択肢エの解説: 社外への持ち出し管理を厳重にすることで紛失や盗難の発生確率(リスク)を下げる行為は「リスク低減(軽減)」の典型例であるため適切です。
総合解説
リスク評価後に決定するリスク対応の選択肢は主に以下の4つです。1.【リスク回避】リスクの原因となる活動自体を中止する。2.【リスク低減】対策を講じて発生確率や損失規模を小さくする(例:PCの持ち出し管理を厳重にする)。3.【リスク移転】他者にリスクを移す(例:保険を掛ける)。4.【リスク保有】特別な対策を行わず許容する。選択肢dは「リスク低減」の説明として正しいため正解です。
AIAIにその場で質問(デモ応答)
こんな聞き方もできます(タップで質問)