リスクコントロール

特定されたリスクに対する対応策。リスク回避（リスク要因の排除）、リスク低減（セキュリティ対策の実施）、リスク移転（保険やアウトソーシング）、リスク保有（許容範囲として受容）の4つの選択肢がある。

特定されたリスクの追跡、残存リスクの監視、新たなリスクの識別、リスク対応計画の有効性評価を行うプロセス。リスク再評価、リスク監査、差異分析・傾向分析などの技法を用いて、プロジェクト全期間を通じて継続的に実施する。

リスクを許容可能な水準まで低減するための対策の実施。技術的対策（暗号化、アクセス制御等）、管理的対策（規程の整備、教育等）、物理的対策（入退室管理等）に分類される。

リスクを修正する対策を講じること。リスク低減の具体的手段として、技術的対策（暗号化、アクセス制御等）や運用的対策（手順の整備、教育等）を実施してリスクレベルを許容範囲内に抑える。

情報資産に対する脅威と脆弱性を洗い出し、リスクの大きさを評価するプロセス。リスク特定、リスク分析、リスク評価の3つのプロセスで構成され、リスク対応の優先順位付けの基礎となる。

リスクの特定、分析、評価を体系的に行うプロセス。リスクの発生確率と影響度を評価し、対策の優先度を決定する。経営リスクや情報セキュリティリスクなど、さまざまな分野のリスクマネジメントの中核的な手法。

組織のIT部門の管理・許可なく、従業員が個人のデバイスやクラウドサービスを業務に使用すること。情報漏えいやセキュリティリスクの原因となる。

組織の情報資産に対して、どのようなリスクが存在するかを洗い出すプロセス。脅威と脆弱性を把握し、リスクの一覧を作成する。

特定されたリスクについて、発生確率と影響度を分析してリスクの大きさを算定するプロセス。定量的分析と定性的分析の手法がある。

リスク分析の結果をもとに、リスクの重大性を判断し、対応の優先順位を決定するプロセス。許容可能なリスクかどうかの判断基準と比較して評価する。