リスク分析では、洗い出されたリスクが顕在化する可能性と、損害を受ける情報資産の重要度などから各リスクの大きさ（危険度）を評価します。

危険度の高いリスクには積極的に経営資源を投入し、危険度の低いリスクにはあまり経営資源を投入しないなど、メリハリのある対策を行うことで効率的なリスク管理を行うことができます。

• 考えられるすべてのリスクに対処することは，時間と費用がかかりすぎるので，損失額と発生確率を予測し，リスクの大きさに従って優先順位を付けるべきである。
  正しい。
• リスク分析によって評価されたリスクに対し，すべての対策が完了しないうちに，繰り返しリスク分析を実施することは避けるべきである。
  状況の変化により未知のリスクが発生している場合もあります。リスクによる損失を少なくするためには、定期的にリスク分析を行い、その結果に対応したリスク対策を行うことが重要になります。
• リスク分析は，将来の損失を防ぐことが目的であるから，過去の類似プロジェクトで蓄積されたデータを参照することは避けるべきである。
  類似のプロジェクトであれば、同様のリスクが存在しているはずです。見落としなくすべてのリスクを把握しておくためにも、蓄積されたデータを参考にすることは問題ありません。
• リスク分析は，リスクの発生による損失額を知ることが目的であり，その損失額に応じて対策の費用を決定すべきである。
  顕在化した場合の損失額が大きくても、発生の確率がないに等しいリスクに多額の費用をかけることは現実的ではありません。損失額だけに注目するのではなく、発生確率をかけ合わせてリスクの大きさを評価し、対策費用の割り当てを決める必要があります。

💾 ✔️