リスクアセスメント

リスクの特定、分析、評価を体系的に行うプロセス。リスクの発生確率と影響度を評価し、対策の優先度を決定する。経営リスクや情報セキュリティリスクなど、さまざまな分野のリスクマネジメントの中核的な手法。

リスク特定、リスク分析、リスク評価のプロセス全体を指す。情報資産に対する脅威と脆弱性を洗い出し、リスクの大きさを分析し、対応の優先順位を決定する。リスク基準やリスク受容基準に基づいて判断する。

情報資産に対する脅威と脆弱性を洗い出し、リスクの大きさを評価するプロセス。リスク特定、リスク分析、リスク評価の3つのプロセスで構成され、リスク対応の優先順位付けの基礎となる。

情報資産に対するリスクを体系的に特定・分析・評価するプロセス。リスク特定（脅威と脆弱性の洗い出し）、リスク分析（発生可能性と影響度の評価）、リスク評価（リスク受容基準との比較）の3段階で構成される。情報セキュリティマネジメントの基盤。

リスクの特定、分析、評価を行うプロセス。情報システムの停止に伴う損失の分析、想定される災害の規模と影響範囲の評価などを通じて、リスク対策の優先順位を決定する。

リスク特定、リスク分析、リスク評価のプロセス全体を指す。脅威と脆弱性を特定し、リスクの大きさを分析し、対応の優先度を評価する一連の活動である。

監査対象のリスクを特定・分析・評価するプロセス。リスクの発生可能性と影響度を基に、監査の優先順位や監査資源の配分を決定するための基礎情報を提供する。

リスク特定、リスク分析、リスク評価のプロセス全体を指す。情報資産に対する脅威と脆弱性を洗い出し、リスクの大きさを算定し、対応の優先度を判断する。ISMSにおけるリスクマネジメントの中核プロセスである。

プロジェクトの計画時点で真であると見なす、確認されていない要因。前提条件が正しくない場合、プロジェクトにリスクをもたらす可能性がある。前提条件ログに記録し、プロジェクト遂行中も継続的に検証する。

プロジェクトの開始から終了までの一連のフェーズの総称。一般に立上げ、計画、実行、監視・コントロール、終結の各プロセス群で構成される。予測型（ウォーターフォール型）と適応型（アジャイル型）のライフサイクルがある。

正式な変更管理手続きを経ずに、プロジェクトのスコープが拡大していく現象。ステークホルダからの小さな要求が積み重なり、スケジュール遅延やコスト超過を引き起こす。スコープ管理プロセスとCCBによる統制で防止する。

プロジェクトのネットワーク図における最長の経路。この経路上のアクティビティの所要時間の合計がプロジェクトの最短完了期間となる。クリティカルパス上のアクティビティが遅延すると、プロジェクト全体の完了が遅延する。

特定されたリスクに対応するために、コストベースラインに含めて確保する予算。リスク分析の結果に基づき、リスクが顕在化した場合のコスト増加に備える。プロジェクトマネージャの権限で使用できる。マネジメント予備とは区別される。

未特定のリスク（未知の未知）に備えて、プロジェクト予算とは別に確保する予備費。コストベースラインには含まれず、プロジェクト全体の予算に含まれる。使用にはスポンサーまたは上位マネジメントの承認が必要。