リスク特定

組織の情報資産に対して、どのようなリスクが存在するかを洗い出すプロセス。脅威と脆弱性を把握し、リスクの一覧を作成する。

組織の情報資産に対するリスクを発見、認識、記述するプロセス。リスクアセスメントの最初のステップで、情報資産の洗い出し、脅威・脆弱性の特定を行い、リスク源とその影響を明らかにする。

プロジェクトに影響を与える可能性のあるリスクを特定するプロセス。ブレーンストーミング、デルファイ法、チェックリスト分析、SWOT分析、根本原因分析などの技法を用いる。特定されたリスクはリスク登録簿に記録する。

組織の情報資産に対する脅威と脆弱性を洗い出し、潜在的なリスクを網羅的に特定する活動。リスクアセスメントの最初のステップであり、リスク一覧（リスク登録簿）を作成する。

監査対象に関連するリスク要因を体系的に洗い出すプロセス。過去のインシデント、環境変化、新技術の導入、組織変更などの観点から、潜在的なリスクを網羅的に識別する。

リスクの性質を理解し、リスクレベルを決定するプロセス。定性的分析と定量的分析の手法があり、脅威の発生可能性と影響度からリスクの大きさを算定する。

リスク特定、リスク分析、リスク評価のプロセス全体を指す。情報資産に対する脅威と脆弱性を洗い出し、リスクの大きさを算定し、対応の優先度を判断する。ISMSにおけるリスクマネジメントの中核プロセスである。

リスクの大きさが受容可能か又は許容可能かを決定するために、リスク分析の結果をリスク基準と比較するプロセス。リスク対応の優先順位付けの根拠となる。

システム又は組織に損害を与える可能性がある、望ましくないインシデントの潜在的な原因。JIS Q 27000では「一つ以上の要因によって付け込まれる可能性がある、資産又は管理策の弱点」を脆弱性と区別して定義している。

一つ以上の脅威によって付け込まれる可能性がある、資産又は管理策の弱点。技術的な欠陥だけでなく、運用手順の不備や人的な弱点も含まれる。脅威と脆弱性の組み合わせによりリスクが顕在化する。

リスクを修正する対策を講じること。リスク低減の具体的手段として、技術的対策（暗号化、アクセス制御等）や運用的対策（手順の整備、教育等）を実施してリスクレベルを許容範囲内に抑える。