情報セキュリティマネジメントについてです。

かなり本格的にこの分野をやっていくと、本当に深いところです。問題文を通しながら少しずつ知識を広げていきましょう。

まず基礎的な知識です。リスクの対応は次の４つに分類されます。

リスク回避：

　リスクを生じさせる要因を完全に取り除くという対応策です。損失リスクのある事業を切り捨てるなど、諦めること自体がリスク回避となり、リスクそのものを破棄するとも言えます。

リスク低減：

　リスクの発生確率を下げる、または発生した際の被害を抑えることを言います。堤防を高くするなど、その対応は様々です。

リスク移転：

　リスクを自分のところ以外のところに転嫁することです。保険とかがそうでえすね。

リスク保有：

　あきらめてリスクを放置するということです。比較的小さいリスクに対して行うことが多く、あきらめてリスクを受け入れる。発生した場合は、諦めてその被害を受ける準備をしておきます。

 

では、問題を見ていきましょう。

 

ａ　リスクを伴う活動の停止やリスク要因の根本的排除により、当該リスクが発生しない状態にする。

根本的排除ということで、これはリスク回避ですね。

 

ｂ　リスク要因の予防や被害拡大防止措置を講じることにより、当該リスクの発生確率や損失を減じる。

予防、拡大防止ということで、リスクの低減です。

 

ｃ　リスクが受容可能な場合や対策費用が損害額を上回るような場合には、あえて何も対策を講じない。

あえてリスクを受け入れる。リスク保有です。

 

ｄ　保険に加入したり、業務をアウトソーシングするなどして、他者との間でリスクを分散する。

保険やアウトソーシングはリスク移転ですね。

 

以上より、a がリスク回避、bがリスク低減、cがリスク保有、dがリスク移転となり、解答は、４となります。