難易度・正答率・重要度
- 難易度: ★★☆☆☆(ISMS用語の正確な対応)
- 正答率: ★★★☆☆(定義の理解で確実に取れる)
- 重要度: ★★★☆☆(リスクマネジメントの基礎)
問題文
JIS Q 27000:2019(情報セキュリティマネジメントシステム-用語)におけるリスクに関する以下の記述の空欄A~Eに入る用語の組み合わせとして、最も適切なものを下記の解答群から選べ。
- リスクAとは、結果とその起こりやすさの組み合わせとして表現されるリスクの大きさのことである。
- リスクBとは、リスクの特質を理解し、リスクレベルを決定するプロセスのことである。
- リスクCとは、リスクの重大性を評価するための目安とする条件のことである。
- リスクDとは、リスクの大きさが受容可能かを決定するために、リスク分析の結果をリスク基準と比較するプロセスのことである。
- リスクEとは、リスクを発見、認識および記述するプロセスのことである。
〔解答群〕
ア
A:基準 B:特定 C:レベル D:評価 E:分析
イ
A:基準 B:分析 C:レベル D:特定 E:評価
ウ
A:レベル B:特定 C:基準 D:評価 E:分析
エ
A:レベル B:分析 C:基準 D:特定 E:評価
オ
A:レベル B:分析 C:基準 D:評価 E:特定
出典:中小企業診断協会|2023年度 第1次試験問題|経営情報システム(PDF)
解答
- 正解: オ(A:レベル、B:分析、C:基準、D:評価、E:特定)
解説(選択肢ごとの評価)
- A=レベル: 結果(影響)と起こりやすさ(発生可能性)の組み合わせで表されるリスクの大きさ(リスクレベル)を指す。
- B=分析: リスクの特質を理解し、リスクレベルを決定するプロセス(リスク分析)を指す。
- C=基準: リスクの重大性評価の目安とする条件(リスク基準)を指す。
- D=評価: 分析結果をリスク基準と比較して受容可否を決めるプロセス(リスク評価)を指す。
- E=特定: リスクを発見・認識・記述するプロセス(リスク特定)を指す。
学習のポイント
- リスクレベル: 影響と発生可能性の組み合わせで表されるリスクの大きさ。
- リスク分析: リスクの特質を理解し、リスクレベルを算定・決定するプロセス。
- リスク基準: リスク評価の目安とする条件(受容基準や優先順位付けの基準)。
- リスク評価: 分析結果を基準と比較し、受容可否や優先度を決めるプロセス。
- リスク特定: リスクを見つけて認識し、内容を記述するプロセス。