H17午前 問31
リスク分析の作業A〜Eの適切な順序はどれか。
A:損失の発生頻度と強度の推定 B:損失の財務的影響度の評価
C:予測されるリスクの識別 D:リスク処理の優先順位の決定
E:リスク処理方法の費用対効果の分析
【 ア 】C→A→B→D→E
【 イ 】C→B→A→D→E
【 ウ 】D→A→B→C→E
【 エ 】D→C→A→B→E
私の選択:ア
解答:ア
選択肢では、はじめにCかDということになっているが、まずはリスクが何なのかを明らかにすることが大事だからDは違う。どんなリスクがあるのかわからない状態で優先順位の決定なんてできない。
次はAかBだけれど、Bの財務的影響度の評価をするためには、どのような情報資産がどれくらいの頻度でリスクにさらされているのかをあるていどわかっている必要がある。だからBよりもAのほうが先にくることがわかる。したがってアが正解。常識的に考えれば解けるんだなあ。
念のため続きを見ておくと、優先順位を決定するためには影響度をわかっていなきゃいけない(もちろん影響度が大きなものから対策する)ので、DよりもBのほうが先にくることがわかる。
Eの費用対効果については、Dよりも先にくる可能性がありそう(損失の影響度が大きくても費用対効果が低いものは後回しにするのが賢明な場合はある)だけれど、選択肢はすべてEが最後になっているのでここでは問題にならない。