リスク特定

組織の情報資産に対して、どのようなリスクが存在するかを洗い出すプロセス。脅威と脆弱性を把握し、リスクの一覧を作成する。

組織の情報資産に対するリスクを発見、認識、記述するプロセス。リスクアセスメントの最初のステップで、情報資産の洗い出し、脅威・脆弱性の特定を行い、リスク源とその影響を明らかにする。

プロジェクトに影響を与える可能性のあるリスクを特定するプロセス。ブレーンストーミング、デルファイ法、チェックリスト分析、SWOT分析、根本原因分析などの技法を用いる。特定されたリスクはリスク登録簿に記録する。

監査対象に関連するリスク要因を体系的に洗い出すプロセス。過去のインシデント、環境変化、新技術の導入、組織変更などの観点から、潜在的なリスクを網羅的に識別する。

リスクを発見、認識及び記述するプロセス。リスク源、事象、それらの原因及び起こり得る結果の特定を含む。情報資産の洗い出しと、それらに対する脅威・脆弱性の特定を行う。

その一箇所が故障するとサービス全体が停止してしまう構成要素。可用性管理では単一障害点を特定し、冗長化などの対策を施すことが重要である。

リスク特定、リスク分析、リスク評価のプロセス全体を指す。脅威と脆弱性を特定し、リスクの大きさを分析し、対応の優先度を評価する一連の活動である。

ITサービスやインフラストラクチャに対する変更を体系的に管理するプロセス。変更のリスクと影響を評価し、承認を得た上で計画的に実施することで、サービスへの悪影響を最小化する。

特定されたリスクの発生可能性と影響度を評価し、リスクの大きさを定量的または定性的に算定する活動。リスクマトリクスを用いた分析が一般的である。

リスクアセスメントの結果に基づき、リスクに対する適切な対応策を選択・実施する活動。リスクの回避、軽減（低減）、移転（共有）、受容（保有）の4つの選択肢がある。

変更を実施した場合に、既存のサービス、インフラストラクチャ、他の変更にどのような影響が生じるかを事前に評価する活動。CMDBの構成情報を活用して影響範囲を特定し、リスク軽減策を検討する。