平成21年度(2009)春期 問21 | 情報処理技術者試験 システム監査技術者

リスクには、投機的リスクと純粋リスクがある。情報セキュリティのためのリスク分析で対象とするのは、投機的リスクである。

リスクの予想損失額は、損害予防のために投入されるコスト、復旧に要するコスト、及びほかの手段で業務を継続するための代替コストの合計で表される。

リスク分析では、現実に発生すれば損失をもたらすリスクが、情報システムのどこに、どのように潜在しているかを識別し、その影響の大きさを測定する。

リスクを金額で測定するリスク評価額は、損害が現実のものになった場合の1回当たりの平均予想損失額で表される。