リスクマネジメントとは何か。
7a536a8a

リスクを
マネジメントするんですよね。



以下の過去問を見てみよう。
問51 情報システムのリスクマネジメント全体の説明として,最も適切なものはどれか
ア 事故や災害の発生を防止したり,それが万一発生した場合には損失を最小限にしたりする手段であり,回避,最適化,移転,保有などの手段がある。
イ 情報システムの機能特性を損なう不安定要因やシステムに内在する脆弱性を識別して,企業活動に生じる損失を防止,軽減するとともに,合理的なコストでの対策を行う。
ウ 情報システムの機能に障害が発生した際に,業務の中断や機密漏えいを,防止又は軽減する緊急時対策を行う。
エ リスクを経済的な範囲で最小化するコントロールを設計するために必要な情報を提供する。
(H20NW 午前問題 問51)

正解はイである。

また、リスクマネジメントのプロセスは以下の順で実施される。
このサイトでも、この順に解説する。

①リスク分析:リスクをリスク値として算出
       ・リスク因子の特定(情報資産とリスクを明らかにする)
   ・リスクの算出(リスクを数値化する)
②リスク評価:一定値以上のものをリスクとして決定
③リスク対応:リスクに対して個別に対応

また、リスク分析を、リスク特定、リスク分析に分ける場合もあります。つまり、以下になります。
①リスク特定
②リスク分析
③リスク評価
④リスク対応

過去問(2108春SC午後Ⅰ問3)の問題文には、以下の記載があります。
---------
JIS Q 31000:2010 及びJIS Q 31010:2012 では,リスクアセスメントは,[ a:リスク特定 ],リスク分析,[ b:リスク評価 ]の三つのプロセスの順に進めると定義されています。まず,[ a:リスク特定 ]のプロセスですが,ファイルに影響を及ぼす一般的なリスクの一覧を私から提供しますので,これを基に進めるとよいでしょう。
---------

整理すると,以下になります。
・リスク特定:どんなリスクがあるのかを特定する
・リスク分析:リスクの発生確率や影響度を分析する
・リスク評価:リスク分析の結果,リスクが一定値以上のものを対処すべきリスクとして決定する

このようなリスクアセスメントの結果を経て,「リスク対応」を実施します。