分野：テクノロジ系
中分類：セキュリティ
小分類：情報セキュリティ管理

ISMSのリスクアセスメントは、リスクの大きさを評価し、そのリスクが許容できるか否かを決定する全体的なプロセスです。JIS Q 27000で「リスク特定，リスク分析及びリスク評価のプロセス全体」と定義されているように、「リスク特定」「リスク分析」「リスク評価」までの一連の活動を含みます。

リスク特定

リスクを発見し、認識する
リスク所有者を特定する

リスク分析

リスクの特質を理解し、リスクレベルを決定する
リスクが実際に生じた場合の損害の大きさ及び起こりやすさを算定する

リスク評価

リスク分析の結果と事前に定めておいたリスク基準とを比較する
リスク対応のために、分析したリスクの優先順位付けを行う

したがって、リスクアセスメントで最初に行う活動は「リスク特定」となります。