中小企業診断士の過去問
令和5年度（2023年）
経営情報システム 問23

正解は、「A：レベル　　B：分析　　C：基準　　D：評価　　E：特定」です。

【基礎知識】

JIS　Q27000はJIS規格の1つで情報セキュリティマネジメントシステム（ISMS）のベストプラクティスやガイドラインをまとめたものになります。

その中でリスクマネジメントプロセスが定められています。

リスクマネジメントプロセスでは、以下の4つのプロセスがあります。

①   リスク特定

リスクを目に見える形で棚卸するフェーズ。リスクを発見し、認識する。

②   リスク分析

リスクの特性を踏まえてレベルを評価するフェーズ。影響の大きさ×発生確率などで表す。

③   リスク評価

リスクを許容できるかどうか検討するフェーズ。リスク基準を定め、許容範囲をあらかじめ決めておく。

④   リスク対応

リスクへの対応を実施するフェーズ。

【選択肢評価】

Ａ　発生確率等も踏まえたリスクの大きさはリスクレベルと言います。

Ｂ　リスクの特性を踏まえ、レベルを評価するのはリスク分析になります。

Ｃ　リスク基準のことです。

Ｄ　リスクの大きさを踏まえ、許容できるかを見ることで、リスク評価になります。

Ｅ　リスクを発見するプロセスでリスク特定のことです。

リスクに関する用語の組み合わせを問う問題です。

解答群の用語の説明から選択肢を絞り込むことが可能なため、是非とも正解したいところです。

・空欄A：リスクの大きさ→レベル
・空欄B：リスクレベルを決定するプロセス→分析
・空欄C：目安とする条件→基準
・空欄D：リスク分析の結果をリスク基準と比較するプロセス→評価
・空欄E：リスクを発見、認識および記述するプロセス→特定