平成17年春期試験問題 午前問69

午前試験免除制度対応!基本情報技術者試験のeラーニング【独習ゼミ】
リスク分析に関する記述のうち,適切なものはどれか。

  • 考えられるすべてのリスクに対処することは時間と費用がかかりすぎるので,損失額と発生確率を予測し,リスクの大きさに従って優先順位を付けるべきである。
  • リスク分析によって評価されたリスクに対し,すべての対策が完了しないうちに,繰り返しリスク分析を実施することは避けるべきである。
  • リスク分析は,将来の損失を防ぐことが目的であるから,過去の類似プロジェクトで蓄積されたデータを参照することは避けるべきである。
  • リスク分析は,リスクの発生による損失額を知ることが目的であり,その損失額に応じて対策の費用を決定すべきである。
正解 問題へ
分野:テクノロジ系
中分類:セキュリティ
小分類:情報セキュリティ管理
解説
リスク分析では、洗い出されたリスクが顕在化する可能性と、損害を受ける情報資産の重要度などから各リスクの大きさ(危険度)を評価します。

危険度の高いリスクには積極的に経営資源を投入し、危険度の低いリスクにはあまり経営資源を投入しないなど、メリハリのある対策を行うことで効率的なリスク管理を行うことができます。
  • 正しい。
  • 状況の変化により未知のリスクが発生している場合もあります。リスクによる損失を少なくするためには、定期的にリスク分析を行い、その結果に対応したリスク対策を行うことが重要になります。
  • 類似のプロジェクトであれば、同様のリスクが存在しているはずです。見落としなくすべてのリスクを把握しておくためにも、蓄積されたデータを参考にすることは問題ありません。
  • 顕在化した場合の損失額が大きくても、発生の確率がないに等しいリスクに多額の費用をかけることは現実的ではありません。損失額だけに注目するのではなく、発生確率をかけ合わせてリスクの大きさを評価し、対策費用の割り当てを決める必要があります。

この問題の出題歴


Pagetop