リスク基準
Risk Criteria
りすくきじゅん
リスクの重大性を評価するための目安とする条件。リスク受容基準(組織がリスクを受け入れるかどうかの判断基準)を含み、リスクアセスメントの実施やリスク対応の判断に用いる。
情報セキュリティマネジメントの推進又は支援に関すること > 情報セキュリティリスクアセスメント
関連キーワードの用語
SCリスクアセスメント
リスク特定、リスク分析、リスク評価のプロセス全体を指す。情報資産に対する脅威と脆弱性を洗い出し、リスクの大きさを算定し、対応の優先度を判断する。ISMSにおけるリスクマネジメントの中核プロセスである。
SCリスク特定
リスクを発見、認識及び記述するプロセス。リスク源、事象、それらの原因及び起こり得る結果の特定を含む。情報資産の洗い出しと、それらに対する脅威・脆弱性の特定を行う。
SCリスク分析
リスクの性質を理解し、リスクレベルを決定するプロセス。定性的分析と定量的分析の手法があり、脅威の発生可能性と影響度からリスクの大きさを算定する。
SCリスク評価
リスクの大きさが受容可能か又は許容可能かを決定するために、リスク分析の結果をリスク基準と比較するプロセス。リスク対応の優先順位付けの根拠となる。
SCリスクマトリックス
リスクの発生可能性と影響度を2軸にとり、リスクレベルを視覚的に表現する手法。定性的リスク分析で用いられ、リスクの優先順位付けに活用する。
SC脅威
システム又は組織に損害を与える可能性がある、望ましくないインシデントの潜在的な原因。JIS Q 27000では「一つ以上の要因によって付け込まれる可能性がある、資産又は管理策の弱点」を脆弱性と区別して定義している。