リスクコントロール

リスクの発生頻度や影響度を低減するための対策を講じること。リスク回避、リスク低減、リスク移転（転嫁）、リスク保有（受容）の4つの対応方法がある。

特定されたリスクに対する対応策。リスク回避（リスク要因の排除）、リスク低減（セキュリティ対策の実施）、リスク移転（保険やアウトソーシング）、リスク保有（許容範囲として受容）の4つの選択肢がある。

特定されたリスクの追跡、残存リスクの監視、新たなリスクの識別、リスク対応計画の有効性評価を行うプロセス。リスク再評価、リスク監査、差異分析・傾向分析などの技法を用いて、プロジェクト全期間を通じて継続的に実施する。

リスクを許容可能な水準まで低減するための対策の実施。技術的対策（暗号化、アクセス制御等）、管理的対策（規程の整備、教育等）、物理的対策（入退室管理等）に分類される。

サイバー攻撃や情報漏洩などのインシデントによって生じる損害を補償する保険。リスク共有（リスク移転）の一手法として、賠償責任、事故対応費用、逸失利益などをカバーする。

リスク特定、リスク分析、リスク評価のプロセス全体を指す。情報資産に対する脅威と脆弱性を洗い出し、リスクの大きさを算定し、対応の優先度を判断する。ISMSにおけるリスクマネジメントの中核プロセスである。

リスクを発見、認識及び記述するプロセス。リスク源、事象、それらの原因及び起こり得る結果の特定を含む。情報資産の洗い出しと、それらに対する脅威・脆弱性の特定を行う。

リスクの性質を理解し、リスクレベルを決定するプロセス。定性的分析と定量的分析の手法があり、脅威の発生可能性と影響度からリスクの大きさを算定する。

システム又は組織に損害を与える可能性がある、望ましくないインシデントの潜在的な原因。JIS Q 27000では「一つ以上の要因によって付け込まれる可能性がある、資産又は管理策の弱点」を脆弱性と区別して定義している。

一つ以上の脅威によって付け込まれる可能性がある、資産又は管理策の弱点。技術的な欠陥だけでなく、運用手順の不備や人的な弱点も含まれる。脅威と脆弱性の組み合わせによりリスクが顕在化する。