dcf52feb
リスク分析とリスク評価の違いがよくわからないんですよ。
 このあたりの言葉の違いがややこしい。
厳密に理解できていなくても、午前問題はマークなので解けるだろう。とはいえ、余裕があればきちんと理解しておくことをお勧めする。

リスク評価の意味
リスク分析で算出したリスク値が、基準を超えたものを対応すべきリスクとして決定する。これがリスク評価である。
過去問では、リスク評価の説明として「情報セキュリティのリスクマネジメントにおいて,リスクの重大さを決定するために,算定されたリスクを与えられた基準と比較するプロセス」と述べれれています。(平成26年度秋期IP問47)

リスク評価の意義
リスク分析で分析される情報資産や脅威は膨大な量になる。それぞれに対して対策を検討するのは時間とコストがかかりすぎるため、どのリスクに対応すべきかを判断する。
以下問題を解くと、リスク評価の意義が理解できるのではないか。
問69 リスク分析に関する記述のうち,適切なものはどれか。
ア 考えられるすべてのリスクに対処することは時間と費用がかかりすぎるので,損失額と発生確率を予測し,リスクの大きさに従って優先順位を付けるべきである。
イ リスク分析によって評価されたリスクに対し,すべての対策が完了しないうちに,繰り返しリスク分析を実施することは避けるべきである。
ウ リスク分析は,将来の損失を防ぐことが目的であるから,過去の類似プロジェクトで蓄積されたデータを参照することは避けるべきである。
エ リスク分析は,リスクの発生による損失額を知ることが目的であり,その損失額に応じて対策の費用を決定すべきである。 (H20春FE午前68)
ア:正解選択肢です。
イ:不適切です。繰り返しリスク分析をすることも、ときには必要です。
ウ:過去のデータを参照することも大事です。
エ:損失額だけではなく、発生頻度も考慮すべきです。