リスク分析プロセスとは
リスク分析プロセスとは、リスク認識から対応までを継続的に行う手順です。
ガイドラインとしてNIST SP 800-30にも定義されています。
リスク分析は、まだ自身が認識していない未知なものを発見するプロセスでもあります。そのため、改善プロセスと同様にリスク分析も修正したら終わりではなく、繰り返し続けることが必要なのです。
- システムの特徴付け
- 脅威の特定
- 脆弱性の特定
- コントロール分析
- 頻度の決定
- 影響分析
- リスク決定
- コントロール推奨
- 結果の文書化
語呂合わせ
9STEPも語呂合わせがあります。
- とっく(特徴)に、就職決まって
- 今日(脅威)、給料もらったけど
- もろ(脆)
- 昆布(コン、分)。
- 食品(頻)
- 衛生(影響)会社
- 蹴って(決定)、他の
- 推薦(推奨)
- 文(文書化)もらう。
これで、元のやつを覚えたほうが早いことに気づけます。
