リスクへの対応は、リスクの大きさとリスクの発生確率に応じて、「リスク移転」「リスク回避」「リスク保有」「リスク低減(リスク最適化)」の4つに分類される。以下にマトリックスと一例を紹介する。 
 ※リスク最適化(低減)策には、技術的対策もあれば社内規程などによる対策もある。たとえば、社内規定でルール化して遵守させた上で、社内教育と内部監査で遵守を徹底する。
※リスク移転には、保険による他社への移転もあれば、アウトソーシングによる移転もある。

  ←小         リスクの発生確率         大→

リスク移転(リスク共有)

 地震などの自然災害は発生確率が少ないので、保険会社にリスクを移転する。

リスク回避
 インターネット上に顧客情報を公開する行為は、漏えいする確率が高く会社への悪影響が大きいので中止する。

↑大

リスク保有

 名刺が盗まれたとしても、影響がそれほど大きくないので何も対策を行わない。

リスク低減(リスク最適化)

・損失防止:対策をしないとウイルスが頻繁に発生するので、ウイルス対策ソフトを全パソコンに導入する。
・損失軽減:データが破壊されるリスクを軽減するために、バックアップを取得する。

リスク


以下のURLがきれいかつ適切だ。
http://www.ipa.go.jp/security/manager/protect/pdca/risk.html

過去問をもとに整理すると、以下になります。
リスク保有
過去問ではリスク保有に関して、「リスクが顕在化しても,その影響が小さいと想定されるので,損害の負担を受容するリスク対応(H21春FE午前問60)」「リスクが小さいことを確認し,問題発生時は損害を負担する(H27春IP問53)」と述べられています。

リスク移転(リスク共有)
過去問(H21春FE午前問41)では、リスク移転に関して、「保険に加入するなど資金面での対策を講じること」と述べられています。
※過去問(H25秋FE午前問39)に、「リスク共有(リスク移転)」と表現されていて、リスク移転=リスク共有ということが示されています。

リスク低減
過去問(H21春FE午前問41)では、リスク低減に関して、「損失の発生率を低下させること」、その具体例として「外部の者が侵入できないように,入退室をより厳重に管理する(H22春SC午前Ⅱ問6)」と述べられています。

リスク回避
過去問では、「リスクの原因を除去すること(H21春FE午前問41)」、その具体例として、「リスクの大きいサービスから撤退した(H27春IP問53)」「データの安易な作成を禁止し,不要なデータを消去する(H22春SC午前Ⅱ問6)と述べられています。