リスクアセスメントのリスク特定、リスク分析、リスク評価のそれぞれの意味は以下になります。
リスク特定・・・リスクの発見、認識
リスク分析・・・リスクレベルの決定
リスク評価・・・リスクの優先順位をつける
1.正解です。
2.不正解です。リスク特定で特定されたリスクのみが分析の対象です。
3.不正解です。分析技法は複数用いることもあります。
4.不正解です。リスク対応で行います。
1が正解です。
リスクアセスメントとは、「リスク特定 」、「リスク分析」、「リスク評価 」の3つのプロセスの一連の流れのことを言います。
損失などのリスクをできる限り効率的かつ低予算で回避できるよう管理します。
リスクアセスメントでの3つのプロセスを終えた後に続けて「リスク対応」を行います。
「リスク特定」:リスクを発見・特定するプロセス
「リスク分析」:リスク特定で発見したリスクを分析し、リスクレベルを判別するプロセス
「リスク評価」:リスク分析で判別した結果とリスク基準を比較するプロセス
「リスク対応」:リスクアセスメントの結果を受け、どのように対応するかを決定するプロセス
(リスク回避、リスク軽減(リスク低減)、リスク移転(リスク共有)、リスク保有)
1の解説)正解です。
2の解説)リスク分析ではリスク特定で検出されたリスクのみが分析対象となります。
3の解説)リスク分析にはいくつかの手法があり、すべてに対して同じ手法を行わなければならないわけではありません。
4の解説)リスク分析ではなく、リスク対応で行います。
情報セキュリティ対策を行う上でまずすべきこととして、自社の抱えるリスクを明確にすることがあります。
対策をしようにも、どのようなリスクがあり、それに対してどのような対策が有効なのかがわからなくては対策できないからです、
そのプロセスのことをリスクアセスメントといいます。
リスクアセスメントは次の3段階で行います。
リスク特定
自社業務にどのようなリスクがあるのかを洗い出します。
手法としてブレーンストーミングやアンケートなどの実施があります。
洗い出したリスクは一覧表にします。
リスク分析
洗い出したリスクの特性をつかみ、実際にインシデントが起きた際の損害を試算します。これは影響度と発生確率の双方向の視点で考えます。
例えば影響度は大きく、発生確率もそれなりに見込まれるリスクは対応を急ぐ必要がありますが、影響度も小さく確率も低いリスクは優先度は低いと言えます。このようにリスクにはレベルがあり(1は正しいです)、影響度も発生確率もない場合はリスクとは見做されません。(2、「全ての〜」というわけではありません)
またインシデントにより被害の程度や影響のかたちは異なるため、ケースバイケースで分析手法は異なります。(3)
リスク評価
分析結果より、どのリスクへの対処を優先すべきかを評価します。
この際に参考とされる基準のことをリスク基準といいます。
4 リスク受容とは敢えて対応をしないというスタンスで、損失よりも対応にかかるコストの方が高くなる場合の判断です。
これはリスク評価後の判断となります。
