管理とリスク

27問 • 1年前

you sー

通報

問題一覧

情報セキュリティ情報セキュリティ対策を講じて守るべき対象のこと。組織を構成するための基本的要素である「人」「モノ」「金」「情報」などがあげられる。

情報資産

情報セキュリティで守るべき資産のうち、「特許」や「商標権」「著作権」などの知的財産権、「顧客情報」「ブランドイメージ」などの企業で培われた価値、従業員の経験・技能などのように物理的実態を伴わない資産のこと。

無形資産

組織体の活動に伴い発生するあらゆるリスクを統合的、包括的、戦略的に把握、評価、最適化し、価値の最大化を図る手法のこと。主な活動としてリスクアセスメントとリスク対応がある。

リスクマネジメント

ISO 31000をもとに作成されたリスクマネジメントに関する原則及び一般的な指針を示したJIS規格。リスクマネジメントの一般的手順や関連用語が定義されている。

JIS Q 31000

リスク対応として保険に加入したことによって、結果的にセキュリティインシデントに対する注意を怠りがちになる、あるいは企業・個人の責任感や倫理観または道徳観の欠如により、節度のない行動が発生しやすくなっている状態を示す言葉。

モラルハザード

部品供給元の被災により部品供給が遅れたり、特定技能を有する技術者の退職により事業計画通りに遂行できなくなるリスクのこと。あるいは供給者や従業員による製品に対する不正プログラムの埋め込み、ハードウェアの不正改造などによって生じる情報セキュリティ上のリスクのこと。

サプライチェーンリスク

リスクの大きさを評価しそのリスクが許容できるか否かを決定する全体的なプロセスのこと。予想されるリスクの可能性と大きさと、許容される可能性と大きさを比較し、「リスク対応」を行うときの優先度の根拠となるリスクレベルを決定する活動。一般的にはリスクマネジメントのうち、「リスクの特定」から「リスクの評価」までのプロセスを指す。

リスクアセスメント

リスクが顕在化した結果引き起こされる損害の大きさと、その起こりやすさの組み合わせとして表現される、リスクまたは組み合わさったリスクの大きさのこと。

リスクレベル

リスクが顕在化した際の損害の大きさと起こりやすさの度合いの組み合わせを、二次元の表上にプロットすることによって、リスクレベルを視覚化する手法のこと。主に定性的リスク分析で用いられる。

リスクマトリックス

リスクを避ける態度のこと

リスク忌避

組織に追求する、または保有する意思があるリスクの量および種類のこと。

リスク選好

リスクの分析の成果及び組織の状況を考慮して確定されたリスク基準に基づき、どのリスクへの対応が必要か、対応の実践の優先順位をどうするかについて意思決定をすること。JIS Q 31000では「リスク及び/又はその大きさが、受容可能か又は許容可能かを決定するために、リスク分析の結果をリスク基準と比較するプロセス」と定義されている。

リスク評価

リスク分析及びリスク評価の結果として明らかになったリスクに対して対応措置を講じること。JIS Q 31000では「リスクを修正するプロセス」と定義されている

リスクコントロール

リスクの要因そのものを排除してしまうことでリスク自体を除去してしまう対応策のこと。JIS Q 31000では「ある特定のリスクに晒されないため、ある活動に参画しない又はある活動から撤退するという、情報に基づいた意思決定」と定義されている

リスク回避

一部の業務をアウトソーシングで他社に委託することでリスクを分散したり、損害保険に加入したりすることで自組織のリスクを他者に移転する対応策のこと。JIS Q 31000では「他者との間で、合意に基づいてリスクを分散することを含むリスク対応の形態」と定義されている

リスク共有

リスクに対してあえて何の措置も実施しない対応策のこと。発生頻度が低く損害も小さいリスクや、リスク対応コストが損害額を上回る場合などに採用される。損害の発生時には組織の財務能力で対処することになる。JIS Q 31000では「ある特定のリスクにより起こり得る利益の恩恵又は損失の負担を受容すること」と定義されている

リスク保有

複数のリスクを組み合わせてリスクを扱いやすい単位にまとめること。JIS Q 31000では「リスク全体をさらに完全に理解することを進展させるため、いくつかのリスクを一つのリスクに組み合わせたもの」と定義されている

リスク集約

リスク対応で「保有」の方策がとられたものや、リスクアセスメントによって特定できていないものなど、リスク対応の実施後も何の対策も立てられずに組織内に内在しているリスクのこと。JIS Q 31000では「リスク対応後に残るリスク」と定義されている

残留リスク

一般に公開されている基準やガイドラインまたはチェックリストを使用して簡易的にリスク分析を行う手法。アンケートやチェックリストを利用してリスクを洗い出すので、少ない手間で実施可能だが、大まかな分析しかできなかったり、質問の品質によって分析結果が左右されてしまったりする可能性もある。

ベースラインアプローチ

分析者の知識と経験によってリスク分析を行う方式。分析者の能力や主観によって分析結果が左右されやすい特徴を持つ。

非公式アプローチ

組織内の情報資産を洗い出し、それぞれの情報資産に対して資産価値、脅威、脆弱性およびセキュリティ要件を識別し、リスクを評価する手法。精度のいい分析結果が得られるが実施には手間がかかる。

詳細リスク分析

事件・事件事故や災害などのようにリスクは特定されているが発生が不確実というような既知のリスクに対して、リスクが顕在化した場合の対応策をまとめた行動計画のこと。IPAの資料では「その策定対象が潜在的に抱える脅威が万一発生した場合に、その緊急事態を克服するための理想的な手続きが記述された文書である」と定義されている

コンティンジェンシープラン

事業継続マネジメント（BCM）における概念の一つで、自然災害やサイバーテロなどの大規模災害時からシステムを素早く復旧させるための仕組みや措置、および損害を最小限に抑えるための予防措置や体制などを指す。

ディザスタリカバリ

障害の発生などの理由により業務が中断した場合に、過去の何時の時点までの状態に戻すのかを示す目標値のこと。

RPO

障害の発生などの理由により業務が中断した場合に、どれだけの時間で復旧させるかを示す目標値のこと。

RTO

予期せぬ災害が発生した場合に、最低限の事業を継続し、または早期に復旧・再開できるようにする企業が定めた行動計画。事業継続計画ともいう。近年、地震、火災・爆発、大規模なシステム障害などが相次いでおり、その結果、基幹となる事業・業務の停止に追い込まれるケースが見られることから、策定の重要性が叫ばれている。

BCP

企業が事業を継続するためにBCPを策定し、その運用や見直し、及び教育や訓練などを包括的に行う管理プロセスのこと。有事の際にBCPを確実かつ有効に実行できるように、日頃より維持管理を行うのが活動目的となる。他のマネジメントプロセスと同様にPDCAサイクルに即した継続的な改善活動を行う

BCM

スヌーピー　会話2

スヌーピー　会話2

スヌーピー　会話3

スヌーピー　会話3