詳細リスク分析・評価の手順

　リスク分析では、現実に発生すれば損失をもたらすリスクが、情報システムのどこにどのように潜在しているかを識別し、その影響の大きさを測定する

ステップ1

リスク分析範囲の決定

ステップ2

対象とする情報資産の種別の決定

ステップ3

情報資産の洗い出し

ステップ4

情報資産の分類

ステップ5

脅威の洗い出し

ステップ6

脆弱性の洗い出し

ステップ7

リスクの洗い出し
参照

ステップ8

リスクの大きさの評価

洗い出されたリスクが顕在化する可能性や損害を受ける情報資産の重要度などにより、各リスクの大きさを評価する。
 リスク強度の評価方法には定性的評価、定量的評価の2種類が存在する。

　定性評価の計算方法の例として、
 　　リスク強度＝情報資産のレベル×脅威レベル×脆弱性レベル
等がある

　定量評価の例として、
　　リスク強度＝（直接損失＋間接損失＋対応費用）×リスク顕在化の頻度
等がある

※参考情報「情報処理安全確保支援士2020年版」上原孝之著