ITパスポート 過去問
令和3年度
問91 (テクノロジ系 問91)

リスクマネジメントとは、損失などのリスクを組織的に管理、回避するプロセスを言います。

損失をできる限り効率的かつ低予算で回避できるよう管理します。

リスクアセスメントとリスク対応で構成されており、リスクアセスメントとは、３つのプロセス「リスク特定 」、「リスク分析」、「リスク評価 」の一連の流れのことをいいます。リスクアセスメントの後にリスク対応を行います。

a)　リスクアセスメントの２番目の「リスク分析」で行います。

b)　リスクアセスメントの１番目の「リスク特定」で行います。

c)　リスクアセスメントの後に行う「リスク対応」で行います。

d)　リスクアセスメントの３番目の「リスク評価」で行います。

リスクアセスメントでは、リスクの特定、リスクの分析、リスクの評価を行います。

ａ．リスクレベルの決定は、リスク分析に含まれます。

ｂ．リスク要因の特定は、リスク特定に含まれます。

ｃ．リスクの対応は、含まれません。

ｄ．優先順位の決定は、リスクの評価に含まれます。

ａ、ｂ、ｄがリスクアセスメントに含まれます。

よって、２が正解です。

企業が抱える情報セキュリティ面などのリスクを適切に管理し、発生に備えるための活動をリスクマネジメントと言います。

リスクマネジメントは主に、

ステップ1：リスク特定・・・業務を遂行する上で考えられるリスクを全て洗い出す作業
→bが該当

ステップ2：リスク分析・・・洗い出したリスクの特性を把握し、発生した際に想定される損失ごとにレベル分け
→aが該当

ステップ3：リスク評価・・・リスク分析によって決定したリスクレベルごとに、対応の優先順位を決定
→dが該当

ステップ4：リスク対応・・・優先順位を考慮しつつ、「回避」「移転」「低減」「保有」のうちいずれかの対応を施す。
→cが該当

の4つのステップで順に行われ、うちステップ1〜3までの
「リスク特定（b）、リスク分析（a）、リスク評価（d）」の
流れがリスクアセスメントとなります。