ITパスポート試験 令和4年度公開問題(全100問) トップへ
Part 4(問76〜100)

86

情報セキュリティにおけるリスクアセスメントを、リスク特定、リスク分析、リスク評価の三つのプロセスに分けたとき、リスク分析に関する記述として、最も適切なものはどれか。

A受容基準と比較するように、各リスクのレベルを設定する必要がある。
B全ての情報資産を分析の対象にする必要がある。
C特定した全てのリスクについて、同じ分析手法を用いる必要がある。
Dリスクが受容可能かどうかを決定する必要がある。

解説

リスク分析とは、情報資産に対する脅威と脆弱性を識別し、リスクの大きさを評価するプロセスです。リスクの大きさは一般的に「資産価値×脅威×脆弱性」で算出されます。リスク分析の結果に基づいて、リスク対応(回避・低減・移転・受容)の方針を決定し、適切なセキュリティ対策を実施します。