情報セキュリティのリスクマネジメントにおけるリスク対応を、リスク移転、リスク回避、リスク低減及びリスク保有の四つに分けて実施することにしたとき、これらに関する記述として、適切なものはどれか。
ア
リスク対応の実施手順であり、リスク回避、リスク移転、リスク低減、リスク保有の順番で進める。
あなたの解答
「リスク回避、リスク移転、リスク低減、リスク保有の順番で進める」は誤りです。リスク対応は手順ではなく選択肢であり、必ずしも決まった順番で実施するものではありません。
イ
リスク対応の実施手順であり、リスク保有、リスク低減、リスク移転、リスク回避の順番で進める。
あなたの解答
「リスク保有、リスク低減、リスク移転、リスク回避の順番で進める」は誤りです。リスク対応は決まった手順ではなく、状況に応じて選択する対応策です。
ウ
リスク対応の選択肢であり、管理対象としたリスクの顕在化に備えて保険を掛けておくことは、リスク回避に該当する。
あなたの解答
「保険を掛けておくことは、リスク回避に該当する」は誤りです。保険を掛けることは、リスクを他者に転嫁する「リスク移転」に該当します。リスク回避はリスクのある行動自体を止めることです。
エ
リスク対応の選択肢であり、ノートPCの紛失や盗難に備えて社外への持出しをより厳重に管理することは、リスク低減に該当する。
正解
あなたの解答
「ノートPCの社外への持出しをより厳重に管理することは、リスク低減に該当する」が正解です。紛失や盗難のリスクを減らす対策であり、これは「リスク低減」に該当します。
解説
正解はエです。
リスク対応には4つの選択肢があります。
- リスク移転: 保険等で他者に転嫁
- リスク回避: リスクのある行動を避ける
- リスク低減: リスクを減らす対策
- リスク保有: リスクを受け入れる
これらは順番に実施する手順ではなく、状況に応じて最適な対応策を選択するものです。各リスクの特性と組織の状況を考慮して、適切な対応策を選択します。