リスク特定

組織の情報資産に対するリスクを発見、認識、記述するプロセス。リスクアセスメントの最初のステップで、情報資産の洗い出し、脅威・脆弱性の特定を行い、リスク源とその影響を明らかにする。

プロジェクトに影響を与える可能性のあるリスクを特定するプロセス。ブレーンストーミング、デルファイ法、チェックリスト分析、SWOT分析、根本原因分析などの技法を用いる。特定されたリスクはリスク登録簿に記録する。

組織の情報資産に対する脅威と脆弱性を洗い出し、潜在的なリスクを網羅的に特定する活動。リスクアセスメントの最初のステップであり、リスク一覧（リスク登録簿）を作成する。

監査対象に関連するリスク要因を体系的に洗い出すプロセス。過去のインシデント、環境変化、新技術の導入、組織変更などの観点から、潜在的なリスクを網羅的に識別する。

リスクを発見、認識及び記述するプロセス。リスク源、事象、それらの原因及び起こり得る結果の特定を含む。情報資産の洗い出しと、それらに対する脅威・脆弱性の特定を行う。

リスクの特定、分析、評価を体系的に行うプロセス。リスクの発生確率と影響度を評価し、対策の優先度を決定する。経営リスクや情報セキュリティリスクなど、さまざまな分野のリスクマネジメントの中核的な手法。

組織のIT部門の管理・許可なく、従業員が個人のデバイスやクラウドサービスを業務に使用すること。情報漏えいやセキュリティリスクの原因となる。

特定されたリスクについて、発生確率と影響度を分析してリスクの大きさを算定するプロセス。定量的分析と定性的分析の手法がある。

リスク分析の結果をもとに、リスクの重大性を判断し、対応の優先順位を決定するプロセス。許容可能なリスクかどうかの判断基準と比較して評価する。

リスク評価の結果に基づいて、リスクに対する具体的な対処方法を選択・実施するプロセス。回避、移転、低減、保有の4つの対応方法がある。

リスクの原因となる活動やシステムの利用を取りやめることでリスクをなくす対応方法。リスクが大きすぎて他の対策では対処しきれない場合に選択される。