リスクアセスメント

リスクの特定、分析、評価を体系的に行うプロセス。リスクの発生確率と影響度を評価し、対策の優先度を決定する。経営リスクや情報セキュリティリスクなど、さまざまな分野のリスクマネジメントの中核的な手法。

情報資産に対する脅威と脆弱性を洗い出し、リスクの大きさを評価するプロセス。リスク特定、リスク分析、リスク評価の3つのプロセスで構成され、リスク対応の優先順位付けの基礎となる。

情報資産に対するリスクを体系的に特定・分析・評価するプロセス。リスク特定（脅威と脆弱性の洗い出し）、リスク分析（発生可能性と影響度の評価）、リスク評価（リスク受容基準との比較）の3段階で構成される。情報セキュリティマネジメントの基盤。

リスクの特定、分析、評価を行うプロセス。情報システムの停止に伴う損失の分析、想定される災害の規模と影響範囲の評価などを通じて、リスク対策の優先順位を決定する。

リスク特定、リスク分析、リスク評価の一連のプロセスの総称。プロジェクトに影響を与えるリスクを体系的に洗い出し、分析・評価して対応の優先順位を決定する。リスクマネジメントの中核をなすプロセス。

リスク特定、リスク分析、リスク評価のプロセス全体を指す。脅威と脆弱性を特定し、リスクの大きさを分析し、対応の優先度を評価する一連の活動である。

監査対象のリスクを特定・分析・評価するプロセス。リスクの発生可能性と影響度を基に、監査の優先順位や監査資源の配分を決定するための基礎情報を提供する。

リスク特定、リスク分析、リスク評価のプロセス全体を指す。情報資産に対する脅威と脆弱性を洗い出し、リスクの大きさを算定し、対応の優先度を判断する。ISMSにおけるリスクマネジメントの中核プロセスである。

組織のリスクを体系的に管理するプロセス。リスクの特定、分析、評価、対応を行い、許容可能な水準にリスクを維持する。JIS Q 31000（ISO 31000）でリスクマネジメントの原則と指針が規定されている。

組織が保有する情報資産を一覧として管理する台帳。情報資産の名称、管理責任者、保管場所、重要度、脅威、脆弱性などを記録する。リスクアセスメントの基礎資料として活用される。

組織の情報資産に対するリスクを発見、認識、記述するプロセス。リスクアセスメントの最初のステップで、情報資産の洗い出し、脅威・脆弱性の特定を行い、リスク源とその影響を明らかにする。

特定されたリスクの性質を理解し、リスクレベルを決定するプロセス。定量的分析（損失額などの数値で評価）と定性的分析（高・中・低などの段階で評価）がある。リスクの発生可能性と影響度を評価する。

リスク分析の結果をリスク基準と比較して、リスク対応の必要性と優先順位を決定するプロセス。リスク受容基準と照らし合わせ、対応が必要なリスクを選別する。リスクマトリックスなどを用いて判断する。

リスクの発生可能性と影響度を軸にした2次元の表で、リスクレベルを視覚的に表現するツール。各リスクをマトリックス上にマッピングすることで、リスクの大きさを把握し、対応の優先順位を判断する。