リスクアセスメントとは、リスクが顕在化する前に、リスクに備える行動や活動のことです。(リスクマネジメントの一部)
リスクアセスメントとは?
リスクアセスメントとは何ですか?
リスクアセスメントは、企業や組織においてリスクが顕在化する前に、リスクに備える行動・活動のことです。
リスクアセスメントは、リスク管理を行う活動のリスクマネージメントの一部であり、初期段階で実施されます。
リスクアセスメントのプロセスは、一般的に、「リスクの特定」「リスクの分析」「リスクの評価」の順に行われます。なお、リスクアセスメントを完了した後、リスクへの対応を行い必要な対策を実行します。
リスクアセスメントのプロセス
「リスクアセスメント」のプロセスは、一般的に、「リスクの特定」「リスクの分析」「リスクの評価」の順に行われます。
第1段階として、企業や組織において、どのようなリスクが想定されるか洗い出し(リスクの特定)をします。リスクによって生じる事象それらを原因として発生する結果を検知・分析します。
第2段階では、第1段階で特定したリスクについて、リスクの性質や発生確率、発生した場合の大きさなどを特定・推定・分析(リスクの分析)をします。その際、それぞれのリスクの特性を理解し、リスクを算定した上で、リスクのレベルを決定します。
第3段階では、一定の基準に基づいて、各リスクへの対応による必要性の有無や優先順位を判断、決定(リスクの評価)をします。
リスクへの対応
「リスクアセスメント」を完了した後は「リスクへの対応」を行います。「リスクへの対応」は、一般的に、「リスクの受容」「リスクの低減」「リスクの移転」「リスクの回避」のいずれかを実行します。
- リスクの受容
-
「リスクの受容」とは、リスクが発生した際、企業や組織に対する影響が低い場合、または、リスクに対応するための対策を行うコストに見合ったリスクへの対応の効果が得られない場合、リスクを低減する対策を特段何も実施しません。
- リスクの低減
-
「リスクの低減」とは、脆弱性に対し、対策を講じることで、リスクの発生確率を下げることです。(例:スマホの紛失、盗難、情報漏洩に備えて保存する情報を暗号化する。)
- リスクの移転
-
「リスクの移転」とは、リスクを他社などに移すことです。(例:リスクが顕在化した時に備え、リスク保険などで損失を充当する。)
- リスクの回避
-
「リスクの回避」とは、リスクが発生し得る原因(脅威の原因)を停止、または、全く別の方法に変更することで、リスクが発生する可能性を取り去ることです。(例:インターネットを通し、外部環境からの不正侵入が発生する脅威に対し、外部と接続を断つために、Web(インターネット)での公開をやめる。)
リスクアセスメントに関する問題(令和5年問72)
情報セキュリティのリスクマネジメントにおけるリスク対応を,リスク回避,リスク共有,リスク低減及びリスク保有の四つに分類したとき,リスク共有の説明として,適切なものはどれか。
ア. 個人情報を取り扱わないなど,リスクを伴う活動自体を停止したり,リスク要因を根本的に排除したりすること
イ. 災害に備えてデータセンターを地理的に離れた複数の場所に分散するなど,リスクの発生確率や損害を減らす対策を講じること
ウ. 保険への加入など,リスクを一定の合意の下に別の組織へ移転又は分散することによって,リスクが顕在化したときの損害を低減すること
エ. リスクの発生確率やリスクが発生したときの損害が小さいと考えられる場合に,リスクを認識した上で特に対策を講じず,そのリスクを受け入れること
出典:令和5年度 ITパスポート試験公開問題 問72
正しいと思う選択肢をクリックしてみてください!!!
ア. 個人情報を取り扱わないなど,リスクを伴う活動自体を停止したり,リスク要因を根本的に排除したりすること
不正解です。
イ. 災害に備えてデータセンターを地理的に離れた複数の場所に分散するなど,リスクの発生確率や損害を減らす対策を講じること
不正解です。
ウ. 保険への加入など,リスクを一定の合意の下に別の組織へ移転又は分散することによって,リスクが顕在化したときの損害を低減すること
正解です。
エ. リスクの発生確率やリスクが発生したときの損害が小さいと考えられる場合に,リスクを認識した上で特に対策を講じず,そのリスクを受け入れること
不正解です。
コメント