ITパスポートの過去問
平成30年度 秋期
テクノロジ系 問99

選択肢を一つずつ見ていきましょう。

a．分析したリスクの優先順位付けを行うのは、リスクの評価にあたります。
よって、正解です。

b．リスクの洗い出しは、リスクの特定にあたります。
よって、誤りです。

c．リスクの対応を行うかどうかの判断基準を決めるのは、リスクの分析にあたります。
よって、誤りです。

上記より正解はaのみのため、１が正解です。

リスクアセスメントの説明です。

a．分析したリスクの優先順位付けを行うのは「リスク評価」ですので、正解です。

b．リスクの洗い出しは「リスク特定」で行いますので、誤りです。

c．リスクに対する対応を決めるのは「リスク分析」ですので、誤りです。

よって「a」が選択肢となる、１が正解です。

リスクマネジメントは、リスク特定、リスク分析、リスク評価、リスク対応の4つのプロセスに分かれており、この順番に実施していきます。前半の３つをリスクアセスメントと呼びます。


a　　あらかじめ定めた基準によって、分析したリスクの優先順位付けを行う。

これは、リスク評価で行うものです。

b　　保護すべき情報資産の取扱いにおいて存在するリスクを洗い出す。

これは、リスク特定で行うものです。

c　　リスクが顕在化したときに、対応を実施するかどうかを判断するための基準を定める。

これは、リスク分析で行うものです。

よって、リスク評価で行うものは　a　となります。


したがって、１が正解です。