リスク基準とリスク対応を組み合わせた問題で判断力を強化します。SG試験で頻出の「基準→評価→対応」の流れと選択肢の切り方を解説します。

sg sg-security-management risk_assessment isms

まず結論

  • SG試験では「基準 → 評価 → 対応」の流れを理解しているかが問われる
  • 判断に迷ったら「順序が正しいか」と「対応が適切か」で切る

直感的な説明

このタイプはこんな流れです👇

① 基準を決める
② リスクを評価する
③ 対応を選ぶ

👉
順番がズレていたら即NG
ここが一番のポイントです。

定義・仕組み(判断の型)

複合問題ではこの3点でチェックします

① 基準が先に決まっているか
② 評価が基準に基づいているか
③ 対応がリスクの大きさに合っているか

👉
この3つでほぼ全問切れます

どんな場面で使う?

  • 科目Bのケース問題
  • ISMSのリスク対応判断
  • 優先順位と対策の整合性を見る問題

よくある誤解・混同

  • 基準なしで評価している
  • リスクが小さいのに過剰対応
  • リスクが大きいのに受容している

👉
このズレを見抜く問題です

複合ケース問題(SG試験レベル)

問題①(順序のひっかけ)

ある企業では、リスク分析を行った後にリスク基準(受容基準)を設定し、その基準に基づいて対応を決定した。

この記述として最も適切なものはどれか?

答えと解説を見る **誤り** 👉 ポイント リスク基準は「先に決める」 👉 正しい流れ 基準 → 分析 → 評価 → 対応 👉 順序が逆なのでNG

問題②(過剰対応のひっかけ)

あるリスクについて、発生確率・影響ともに低く、組織の受容基準内であったが、追加コストをかけて対策を実施した。

この対応として最も適切なものはどれか?

答えと解説を見る **不適切(本来は受容)** 👉 ポイント 基準内 → 受容が基本 👉 低減しているが「過剰対応」 👉 SGの考え方 **コストとリスクのバランスを見る**

問題③(過小対応のひっかけ)

あるリスクについて、影響が非常に大きく受容基準を超えていたが、特に対策を行わず現状維持とした。

この対応として最も適切なものはどれか?

答えと解説を見る **不適切** 👉 ポイント 基準超え → 対応が必要 👉 受容してはいけないケース

問題④(適切な判断)

ある企業では、情報漏えいリスクについて評価した結果、受容基準を超えていたため、多要素認証を導入した。

この対応として最も適切なものはどれか?

答えと解説を見る **低減(適切)** 👉 ポイント 基準超え → 対応必要 対策している → 低減 👉 流れも判断も正しい

問題⑤(最重要:複合判断)

ある企業では、次の方針でリスク対応を行った。

  • 重要度が高く基準を超えるリスク → 対策を実施
  • 軽微で基準内のリスク → そのまま運用
  • 外部委託で対応可能なリスク → 委託を検討

この方針として最も適切なものはどれか?

答えと解説を見る **適切** 👉 ポイント - 基準超え → 低減 - 基準内 → 受容 - 委託 → 移転 👉 すべて正しい判断 👉 SG試験の核心 **リスクの大きさに応じて対応を変えている**

まとめ(試験直前用)

  • 基準 → 評価 → 対応の順序が最重要
  • 基準内 → 受容
  • 基準超え → 対応(低減など)
  • 過剰対応・過小対応に注意
  • 迷ったら「基準との関係」で切る

🔗 関連記事

🏠 情報セキュリティマネジメントトップに戻る