リスクアセスメント
Risk Assessment
りすくあせすめんと
他の資格での定義
リスクの特定、分析、評価を体系的に行うプロセス。リスクの発生確率と影響度を評価し、対策の優先度を決定する。経営リスクや情報セキュリティリスクなど、さまざまな分野のリスクマネジメントの中核的な手法。
リスク特定、リスク分析、リスク評価のプロセス全体を指す。情報資産に対する脅威と脆弱性を洗い出し、リスクの大きさを分析し、対応の優先順位を決定する。リスク基準やリスク受容基準に基づいて判断する。
情報資産に対する脅威と脆弱性を洗い出し、リスクの大きさを評価するプロセス。リスク特定、リスク分析、リスク評価の3つのプロセスで構成され、リスク対応の優先順位付けの基礎となる。
リスクの特定、分析、評価を行うプロセス。情報システムの停止に伴う損失の分析、想定される災害の規模と影響範囲の評価などを通じて、リスク対策の優先順位を決定する。
リスク特定、リスク分析、リスク評価の一連のプロセスの総称。プロジェクトに影響を与えるリスクを体系的に洗い出し、分析・評価して対応の優先順位を決定する。リスクマネジメントの中核をなすプロセス。
リスク特定、リスク分析、リスク評価のプロセス全体を指す。脅威と脆弱性を特定し、リスクの大きさを分析し、対応の優先度を評価する一連の活動である。
監査対象のリスクを特定・分析・評価するプロセス。リスクの発生可能性と影響度を基に、監査の優先順位や監査資源の配分を決定するための基礎情報を提供する。
リスク特定、リスク分析、リスク評価のプロセス全体を指す。情報資産に対する脅威と脆弱性を洗い出し、リスクの大きさを算定し、対応の優先度を判断する。ISMSにおけるリスクマネジメントの中核プロセスである。
関連キーワードの用語
組織の情報セキュリティを体系的に管理するための仕組み。計画(Plan)、実行(Do)、点検(Check)、改善(Act)のPDCAサイクルで継続的に改善する。JIS Q 27001(ISO/IEC 27001)が要求事項を、JIS Q 27002が管理策の実施の手引きを規定する。
特定されたリスクに対する対応策。リスク回避(リスク要因の排除)、リスク低減(セキュリティ対策の実施)、リスク移転(保険やアウトソーシング)、リスク保有(許容範囲として受容)の4つの選択肢がある。
組織の情報セキュリティに関する基本方針、対策基準、実施手順を体系的に定めた文書。経営層の承認のもと策定され、組織全体のセキュリティ対策の指針となる。
機密性、完全性、可用性を維持するための組織的な取り組み。プロジェクトにおいても、開発環境のセキュリティ、成果物のアクセス制御、機密情報の取扱いなど、情報セキュリティを適切に管理する必要がある。
経済産業省が策定した、情報セキュリティ管理における判断の尺度。ISO/IEC 27001およびISO/IEC 27002を基にしており、情報セキュリティ監査の判断基準として活用される。
ソフトウェアを構成するコンポーネント(ライブラリ、モジュールなど)の一覧とその依存関係を記録したリスト。サプライチェーンにおけるソフトウェアの脆弱性管理に活用され、脆弱性が発見された際の影響範囲の特定を迅速化する。