リスク評価
今回扱う問題は、サービス提供に関するリスク評価です。
サービスは顧客向けはもちろんのこと、自社向けに行う業務も該当します。
また、リスクへの対応はとにかく解消すれば良いわけではなく、事業への影響と対応するコストなどを加味し、適切に対応するための適切な評価をする必要があります。
つまり、評価は過少でも過大でもいけません。
今回のサンプル
こちらの公開問題を使い、解説をします。
※出典:情報セキュリティマネジメント試験(SG)公開問題(令和7年度 科目B)
科目B
この問題を使います。
設問の確認
選択肢は多いですが、空欄を1つずつ埋めて該当する選択肢を選べば良いのです。
解き方
まずは評価基準である重要度が何を意味しているかを確認する必要があります。
重要度
表1から重要度ごとの違いを見つけ、整理します。
つまり、重要度には下記の違いがあります。
- 2:顧客も自社もすぐに困る
- 1:自社はすぐに困る(顧客は困らない)
- 0:誰もすぐには困らない
リスク評価
次に、空欄となっている評価を確認します。
ここで大事なのは、重要度に照らし合わせて『誰が』『いつ困る』という点を押さえることです。
表1の確認だけでは、まだ不明点があります。
- ヘルプデスク利用者とは?(顧客か社員か)
- 人事・労務管理は利用できなくなると、すぐに困るか?
不明点の確認
ここで、問題文を確認します。
つまり、下記の内容が読み取れます。
- ヘルプデスク利用者は顧客である
- 労務管理は利用できなくなると、すぐに困る(勤怠管理などをスマホで行うから)
スマホの使い方でまず1つイメージできるのは、出勤・退勤の入力と考えられます。
もし使えなくなり、運用回避する場合には労務管理の担当への大きな負担がかかりそうです。
正解
以上のことから空欄『a1』は重要度『2』、空欄『a2』は重要度『1』となります。
選択肢は『ク』が該当します。
さいごに
今回は、リスクの評価方法について学ぶ問題でした。
重要度を適切に評価するという点で、セキュリティ面だけではなく経営に必要な知識として学ぶことができたと思います。
ここまでお付き合い頂き、ありがとうございました。
Discussion