ITパスポート試験 用語辞典

リスクアセスメント
【Risk Assessment】
対象組織に存在するリスクを認識し、リスクの大きさを評価し、そのリスクが許容できるか否かを決定する全体的なプロセスのこと。予想されるリスクの可能性と大きさと、許容される可能性と大きさを比較し「リスク対応」を行うときの優先度の根拠となるリスクレベルを決定する活動。
一般にはリスクマネジメント活動のうち、「リスク特定」から「リスク評価」までのプロセスを指す。
リスク特定
リスク源、リスクによって生じる事象、それらの原因および起こり得る結果を発見・認識し、文書として記述するプロセス
リスク分析
リスクの特質を理解し,リスクを算定し,リスクレベルを決定するプロセス
リスク評価
リスク及び/又はその大きさが,受容可能か又は許容可能かを決定するために,リスク分析の結果をリスク基準と比較するプロセス
↓ 用語データを見る
分野:
分野:テクノロジ系
中分類:セキュリティ
小分類:情報セキュリティ管理
重要度:
(Wikipedia リスクアセスメントより)

リスクアセスメント(Risk assessment)とは、リスク特定、リスク分析、リスク評価を網羅するプロセス全体を指す

  1. リスク特定 (risk identification) - リスクを発見し、認識し、記述するプロセス
  2. リスク分析 (risk analysis) - リスクの特質を理解し、リスクレベルを決定するプロセス
  3. リスク評価 (risk evaluation) - リスク(とその大きさ)が受容可能か(許容可能か)を決定するためにリスク分析の結果をリスク基準と比較するプロセス

通常は、リスクアセスメントの後で、リスク対応をする。

  • リスク対応 (risk treatment) - リスクを修正するプロセス

リスク対応の手段には、リスク源の除去、起こりやすさの変更、結果の変更、他者とのリスクの共有、リスクの保有などがある。

  • 残留リスク (residual risk) - リスク対応の後に残るリスク
  • リスク基準 (risk criteria) - リスクの重大性を評価するための目安とする条件
  • リスクレベル (level of risk) - 結果とその起こりやすさとの組合せとして表されるリスク(または組み合わさったリスク)の大きさ

リスク管理プロセス

リスクアセスメントとは、もともとリスク管理プロセス内のサブプロセスである。安全工学上はリスクとは、人、環境、物に悪い影響をあたえる可能性と大きさ(の積)である。予測されるリスクの可能性と大きさ(予測値)と、許容されるリスクの可能性と大きさ(許容値)を比較し、予想値が許容値を上回った時リスク軽減の施策又はリスク回避の施策をとるという意思決定を行い、実際にその施策をとり、より安全な状態を実現するプロセスをとることになる。このプロセス全体がリスク管理プロセスである。このように、リスクアセスメントは、リスク管理プロセス内の意思決定サブプロセスとなる。

リスク評価

リスクアセスメント(risk assessment)は、「リスク評価」と訳されることが多い。しかし、risk evaluationをリスク評価と訳している場合もあり注意が必要である。本来、assessmentとevaluationとの間には、若干の相違点がある。evaluationは評価する行為そのものであるのに対して、assessmentは評価した結果に基づいて考察を加え、判断することまで含める概念である。例えば、環境アセスメントは、その代表的な使い方である。risk assessment, risk evaluation, risk characterization, risk managementなどの訳語に調整(Harmonization)が必要である。これらの用語についてはUNEP/ILO/FAO/WHO/ILO/UNIDO/UNITAR/OECDによる整理事例がある。

「情報セキュリティ管理」の用語

「セキュリティ」の他の分野

「テクノロジ系」の他のカテゴリ

このページのWikipediaよりの記事は、ウィキペディアの「リスクアセスメント」(改訂履歴)の記事を複製、再配布したものにあたり、このページ内の該当部分はクリエイティブ・コモンズ 表示 - 継承 3.0 非移植 ライセンスの下 に提供されています。


Pagetop