情報セキュリティのリスクマネジメントにおける4つのリスク対応は以下になります。
リスク回避・・・リスクの原因を取り除くこと
リスク共有・・・業務委託や保険加入などリスクを他者と共有すること
リスク低減・・・リスク発生の確率を下げる、損害を小さくすること
リスク保有・・・リスクをそのまま受け入れること
サイバー保険に入ることは、リスク共有のため、2が正解です。
情報セキュリティでは常にリスクを扱います。
企業が課題とするリスクに対し、どのように予防および対処をするのかを取り決め、管理することをリスクマネジメントといいます。
この際に対処としての手段は次の4つに分類され、リスクの特性を考慮し適切なものを選定します。
リスク回避 (1)
プロジェクトについて、危険を伴う部分や損失の可能性が高い場合に方向性や目標設定を変えるなどといった、事前にリスクを避ける方針とするものです。
リスク共有 (正解は2)
損害保険への加入により、責任の範囲を広げるといった方針です。
リスク低減 (3)
システム開発期間を延長し、リリース前にセキュリティホールを徹底的に洗い出して出来るだけバグフィックスをするといった、今あるリスクを出来るだけ小さくするという方針です。
リスク保有 (4)
リスク回避できなかった際の損失が、対処のための予算を下回る場合には敢えて対処をしないという方針です。
実務ではインシデント発生時の行動の取り決めておくことがほとんどで、この時の計画をコンティンジェンシープランといいます。
2が正解です。
リスク対応では「リスク回避」、「リスク共有」、「リスク低減」、「リスク保有」の4つの選択肢があり、4つの中から1つまたは複数の選択肢を選んで適切な対応を行います。
サイバー保険など保険への加入はリスクを外部と共有する「リスク共有」に該当します。
1の解説)リスク回避はリスクの原因を排除し、起こる可能性をなくすことです。
2の解説)正解です。
3の解説)リスク低減は、リスクが起こる可能性や起こった場合の被害を最小にすることです。
4の解説)リスク保有は対策はそのままリスクを受け入れることをいいます。
