リスク評価

リスク分析の結果をリスク基準と比較して、リスク対応の必要性と優先順位を決定するプロセス。リスク受容基準と照らし合わせ、対応が必要なリスクを選別する。リスクマトリックスなどを用いて判断する。

リスク分析の結果をリスク基準と比較して、リスクの受容可否を判断するプロセス。リスクの優先順位に基づき、どのリスクに対応が必要かを決定する。リスクアセスメント（リスク特定→リスク分析→リスク評価）の最終段階。

リスク分析の結果をリスク基準と比較し、対応が必要なリスクの優先順位を決定するプロセス。リスクの受容水準を超えるリスクについて、対応策の検討・実施を行う。

リスクの大きさが受容可能か又は許容可能かを決定するために、リスク分析の結果をリスク基準と比較するプロセス。リスク対応の優先順位付けの根拠となる。

リスクの特定、分析、評価を体系的に行うプロセス。リスクの発生確率と影響度を評価し、対策の優先度を決定する。経営リスクや情報セキュリティリスクなど、さまざまな分野のリスクマネジメントの中核的な手法。

組織のIT部門の管理・許可なく、従業員が個人のデバイスやクラウドサービスを業務に使用すること。情報漏えいやセキュリティリスクの原因となる。

組織の情報資産に対して、どのようなリスクが存在するかを洗い出すプロセス。脅威と脆弱性を把握し、リスクの一覧を作成する。

特定されたリスクについて、発生確率と影響度を分析してリスクの大きさを算定するプロセス。定量的分析と定性的分析の手法がある。

リスク評価の結果に基づいて、リスクに対する具体的な対処方法を選択・実施するプロセス。回避、移転、低減、保有の4つの対応方法がある。

リスクの原因となる活動やシステムの利用を取りやめることでリスクをなくす対応方法。リスクが大きすぎて他の対策では対処しきれない場合に選択される。