【過去問倶楽部】資格対策
～ビジネスキャリア検定～
　（平成26年　前期　　経営情報システム（情報化企画）　2級)

【問題 10】
ＩＴリスクマネジメントに関する記述として不適切なものは、次のうちどれか。

ＩＴリスクマネジメントには、ＩＴリスクアセスメント、リスク低減、それらの有効性評価という３つのプロセスが含まれる。

リスクの大きさは、リスクが現実となる発生確率と発生したときの影響度を掛け合わせた「リスク値」で示すのが一般的である。発生確率や影響度は必ずしも厳密な確率値や損害金額ではなく、関係者が合意する基準値などでもよい。

リスク対策を時間軸で見ると、「事前対策」、「緊急時対策」、｢復旧対策｣に分類できる。緊急時対策は、リスク発生直後にスピード感をもって実施するものだけに、平常時に冷静な視点で検討しておくことが求められる。

リスク対策の方法としては、「リスク回避、低減、移転、保有」という考え方がよく使われる。｢リスク移転｣とは、第三者にリスクを移すことで、ＩＴ保険（ユーザーからの損害賠償請求が対象）への加入やフェールセーフを実現する代替機能の準備などが該当する。

内外の環境変化に伴ってリスクの発生確率や影響度は変わり、また新しいリスクが生まれることも多い。したがってリスクマネジメントは初期段階だけでなく継続的に実施することが重要である。