ISMS のリスクアセスメントにおいて、最初に行うものはどれか。
- ア. リスク対応
- イ. リスク特定
- ウ. リスク評価
- エ. リスク分析
【答え】イ
【解説】
リスクマネジメントの一連の流れは大きくリスクアセスメント(リスク特定、リスク分析、リスク評価)とリスク対応から成ります。
① リスク特定
守るべき情報資産を洗い出し、脅威(不正アクセス、自然災害、内部不正など)と脆弱性を特定します。
② リスク分析
特定したリスク(脅威と脆弱性)に対して、それがどの程度の影響を与えるか、どのくらい発生しやすいかを評価します。リスクの重大度を定量的・定性的に評価し、優先的に対応すべきリスクを明らかにします。
③ リスク評価
リスク分析で洗い出したリスクの重大性を判断し、どのリスクにどのように対応するかを決定するための評価プロセスです。洗い出したリスクの重大性や優先度を明確にして、対策が必要なリスクと許容できるリスクを区別します。
④ リスク対応
リスク評価の結果に基づいて、どのリスクにどのように対処するかを決定・実行するプロセスです。
以上より、正解(最初に行うもの)はイ. リスク特定となります。
情報セキュリティ1~情報セキュリティの概要とリスクマネジメント~ 
