リスク分析

特定されたリスクについて、発生確率と影響度を分析してリスクの大きさを算定するプロセス。定量的分析と定性的分析の手法がある。

特定されたリスクの性質を理解し、リスクレベルを決定するプロセス。定量的分析（損失額などの数値で評価）と定性的分析（高・中・低などの段階で評価）がある。リスクの発生可能性と影響度を評価する。

特定されたリスクの性質を理解し、リスクレベルを決定するプロセスの総称。定性的リスク分析（確率と影響度による優先順位付け）と定量的リスク分析（数値的な影響分析）の2つのアプローチがある。

特定されたリスクの発生可能性と影響度を評価し、リスクの大きさを定量的または定性的に算定する活動。リスクマトリクスを用いた分析が一般的である。

識別されたリスクの発生可能性と影響度を見積もるプロセス。定量的リスク分析（金額等の数値で評価）と定性的リスク分析（高・中・低等で評価）がある。リスク評価の前段階として実施する。

リスクを発見、認識及び記述するプロセス。リスク源、事象、それらの原因及び起こり得る結果の特定を含む。情報資産の洗い出しと、それらに対する脅威・脆弱性の特定を行う。

リスク特定、リスク分析、リスク評価のプロセス全体を指す。情報資産に対する脅威と脆弱性を洗い出し、リスクの大きさを算定し、対応の優先度を判断する。ISMSにおけるリスクマネジメントの中核プロセスである。

リスクの大きさが受容可能か又は許容可能かを決定するために、リスク分析の結果をリスク基準と比較するプロセス。リスク対応の優先順位付けの根拠となる。

システム又は組織に損害を与える可能性がある、望ましくないインシデントの潜在的な原因。JIS Q 27000では「一つ以上の要因によって付け込まれる可能性がある、資産又は管理策の弱点」を脆弱性と区別して定義している。

一つ以上の脅威によって付け込まれる可能性がある、資産又は管理策の弱点。技術的な欠陥だけでなく、運用手順の不備や人的な弱点も含まれる。脅威と脆弱性の組み合わせによりリスクが顕在化する。

リスクを修正する対策を講じること。リスク低減の具体的手段として、技術的対策（暗号化、アクセス制御等）や運用的対策（手順の整備、教育等）を実施してリスクレベルを許容範囲内に抑える。