システム監査平成11年問70
情報システムのリスク分析に関する記述のうち、もっとも適切なも
のはどれか。
ア リスクには、投機的リスクと純粋リスクとがある。情報セキュ
リティのためのリスク分析では対象とするのは、投機的リスクで
ある。
イ リスクの予想損失額は、損害予防のために投入されるコスト、
損害の復元に要するコスト、及び他の手段で業務を継続するため
の代替コストの合計で表される。
ウ リスク分析とは、現実に発生すれば損失をもたらすリスクが、
情報システムのどこに、どのように潜在しているかを識別し、そ
の影響の大きさを測定することである。
エ リスクを金額で測定するリスク評価額は、損害が現実のものに
なった場合の1回当たりの予想損失額で表される。
解答
ウ リスク分析とは、現実に発生すれば損失をもたらすリスクが、
情報システムのどこに、どのように潜在しているかを識別し、そ
の影響の大きさを測定することである。
> ア リスクには、投機的リスクと純粋リスクとがある。情報セキュ
> リティのためのリスク分析では対象とするのは、投機的リスクで
> ある。
誤った記述です。
情報システムにおけるリスクマネジメントでは、主に純粋リスクを対象と
して取り扱います。
> イ リスクの予想損失額は、損害予防のために投入されるコスト、
> 損害の復元に要するコスト、及び他の手段で業務を継続するため
> の代替コストの合計で表される。
誤った記述です。
リスクの予想損失額はセキュリティ侵害が発生してから、元の状態に戻す
までにかかる費用となります。
損害のために失ったビジネスチャンス、損害そのもののコストを含める必
要があります。
> ウ リスク分析とは、現実に発生すれば損失をもたらすリスクが、
> 情報システムのどこに、どのように潜在しているかを識別し、そ
> の影響の大きさを測定することである。
正しい記述です。
リスクとは、情報資産を脅かす内外の要因によって情報資産が損なわれる
可能性のことをいいます。
これに対し、実際に情報資産が損なわれてしまった状態をインシデントと
いいます。
> エ リスクを金額で測定するリスク評価額は、損害が現実のものに
> なった場合の1回当たりの予想損失額で表される。
誤った記述です。
リスク評価額は「1回当たりの予想損失額×発生頻度(回数/年)」
で表されます。
のはどれか。
ア リスクには、投機的リスクと純粋リスクとがある。情報セキュ
リティのためのリスク分析では対象とするのは、投機的リスクで
ある。
イ リスクの予想損失額は、損害予防のために投入されるコスト、
損害の復元に要するコスト、及び他の手段で業務を継続するため
の代替コストの合計で表される。
ウ リスク分析とは、現実に発生すれば損失をもたらすリスクが、
情報システムのどこに、どのように潜在しているかを識別し、そ
の影響の大きさを測定することである。
エ リスクを金額で測定するリスク評価額は、損害が現実のものに
なった場合の1回当たりの予想損失額で表される。
解説
難易度 ★★解答
ウ リスク分析とは、現実に発生すれば損失をもたらすリスクが、
情報システムのどこに、どのように潜在しているかを識別し、そ
の影響の大きさを測定することである。
> ア リスクには、投機的リスクと純粋リスクとがある。情報セキュ
> リティのためのリスク分析では対象とするのは、投機的リスクで
> ある。
誤った記述です。
情報システムにおけるリスクマネジメントでは、主に純粋リスクを対象と
して取り扱います。
> イ リスクの予想損失額は、損害予防のために投入されるコスト、
> 損害の復元に要するコスト、及び他の手段で業務を継続するため
> の代替コストの合計で表される。
誤った記述です。
リスクの予想損失額はセキュリティ侵害が発生してから、元の状態に戻す
までにかかる費用となります。
損害のために失ったビジネスチャンス、損害そのもののコストを含める必
要があります。
> ウ リスク分析とは、現実に発生すれば損失をもたらすリスクが、
> 情報システムのどこに、どのように潜在しているかを識別し、そ
> の影響の大きさを測定することである。
正しい記述です。
リスクとは、情報資産を脅かす内外の要因によって情報資産が損なわれる
可能性のことをいいます。
これに対し、実際に情報資産が損なわれてしまった状態をインシデントと
いいます。
> エ リスクを金額で測定するリスク評価額は、損害が現実のものに
> なった場合の1回当たりの予想損失額で表される。
誤った記述です。
リスク評価額は「1回当たりの予想損失額×発生頻度(回数/年)」
で表されます。