令和6年度 春期 ITサービスマネージャ試験 午前II 問16

【解説】

ア: トップマネジメントとは、リスクを運用管理することについて、アカウンタビリティ及び権限をもつ人又は主体のことである。
誤り。トップマネジメントは、リスク管理の実務ではなく、組織の戦略的方向性とセキュリティポリシーの策定を担う役割です。

イ: リスクアセスメントとは、リスクを修正するプロセスのことであり、リスクを生じさせる活動を開始又は継続しないと決定することによって、リスクを回避することを含む。
誤り。これはリスク対応の説明に該当し、リスクアセスメントの定義ではありません。

ウ: リスク評価とは、リスク及び／又はその大きさが受容可能か又は許容可能かを決定するために、リスク分析の結果をリスク基準と比較するプロセスのことである。
正しい。JIS Q 27000:2019で定義されている「リスク評価」の正確な説明です。

エ: リスク分析とは、リスクを発見、認識及び記録するプロセスのことであり、リスク源、事象、それらの原因及び起こり得る結果の特性が含まれる。
誤り。この説明は「リスク特定」の要素を含みますが、リスク分析自体はその後の影響や発生確率の評価も含むより広いプロセスです。