リスク分析の方法については、現在様々な手法が提案されています。リスクは、業界や業務によって大きく異なるため、デファクトスタンダード的なリスク分析手法はなく、適宜、自組織にあった方法でリスク分析を行っているようです。 ここでは、ISMSにおいて参照されることの多い、「IT セキュリティマネジメントのガイドライン-第3部:ITセキュリティマネジメントのための手法(JIS TR X 0036-3:2001)」より、4つのリスク分析方法を紹介します。それぞれに長所と短所があります。 (1)ベースラインアプローチ 既存の標準や基準をもとにベースライン(自組織の対策基準)を策定し、チェックしていく方法。簡単にできる方法であるが、選択する標準や基準によっては求める対策のレベルが高すぎたり、低すぎたりする場合がある (2)非形式的アプローチ コンサルタント又は組織や担当者の経験、判断によりリスクアセスメン