リスク特定

組織の情報資産に対して、どのようなリスクが存在するかを洗い出すプロセス。脅威と脆弱性を把握し、リスクの一覧を作成する。

プロジェクトに影響を与える可能性のあるリスクを特定するプロセス。ブレーンストーミング、デルファイ法、チェックリスト分析、SWOT分析、根本原因分析などの技法を用いる。特定されたリスクはリスク登録簿に記録する。

組織の情報資産に対する脅威と脆弱性を洗い出し、潜在的なリスクを網羅的に特定する活動。リスクアセスメントの最初のステップであり、リスク一覧（リスク登録簿）を作成する。

監査対象に関連するリスク要因を体系的に洗い出すプロセス。過去のインシデント、環境変化、新技術の導入、組織変更などの観点から、潜在的なリスクを網羅的に識別する。

リスクを発見、認識及び記述するプロセス。リスク源、事象、それらの原因及び起こり得る結果の特定を含む。情報資産の洗い出しと、それらに対する脅威・脆弱性の特定を行う。

組織のリスクを体系的に管理するプロセス。リスクの特定、分析、評価、対応を行い、許容可能な水準にリスクを維持する。JIS Q 31000（ISO 31000）でリスクマネジメントの原則と指針が規定されている。

組織が保有する情報資産を一覧として管理する台帳。情報資産の名称、管理責任者、保管場所、重要度、脅威、脆弱性などを記録する。リスクアセスメントの基礎資料として活用される。

リスク特定、リスク分析、リスク評価のプロセス全体を指す。情報資産に対する脅威と脆弱性を洗い出し、リスクの大きさを分析し、対応の優先順位を決定する。リスク基準やリスク受容基準に基づいて判断する。

特定されたリスクの性質を理解し、リスクレベルを決定するプロセス。定量的分析（損失額などの数値で評価）と定性的分析（高・中・低などの段階で評価）がある。リスクの発生可能性と影響度を評価する。

リスク分析の結果をリスク基準と比較して、リスク対応の必要性と優先順位を決定するプロセス。リスク受容基準と照らし合わせ、対応が必要なリスクを選別する。リスクマトリックスなどを用いて判断する。

リスクの発生可能性と影響度を軸にした2次元の表で、リスクレベルを視覚的に表現するツール。各リスクをマトリックス上にマッピングすることで、リスクの大きさを把握し、対応の優先順位を判断する。