ISO/IEC 27001（JIS Q 27001）のリスクに関する定義

リスクレベル　

　結果とその起こりやすさの組合せとして表現される、リスクの大きさ。

リスク基準

 ・リスクの重大性を評価するための目安とする条件。
 ・リスクの基準は、組織の目的、外部状況及び内部状況に基づいたものとなる。
 ・リスク基準は、規格、法律、方針及びその他の要求事項から導き出されることがある

リスク特定

 ・リスクを発見、認識及び記述するプロセス
 ・リスク特定には、リスク源、事象、それらの原因及び起こりうる結果の特定が含まれる
 ・リスク特定には、過去のデータ、理論的分析、情報に基づいた意見、専門家の意見及びステークホルダのニーズを含むことがある
・リスク特定では、脅威が管理策の脆弱性につけこむことによって情報資産に与える影響を特定する

リスク分析

 ・リスクの特質を理解し、リスクレベルを決定するプロセス
 ・リスク分析は、リスク評価及びリスク対応に関する意思決定の基礎を提供する
 ・リスク分析は、リスクの算定を含む

リスク評価

 ・リスク及び／又はその大きさが受容可能か又は許容可能かを決定するために、リスク分析の結果をリスク基準と比較するプロセス
 ・リスク評価はリスク対応に関する意思決定を手助けする

リスクアセスメント

 ・リスク特定、リスク分析及びリスク評価のプロセス全体

リスク所有者

 ・リスクを運用管理することについて、アカウンタビリティ及び権限を持つ人または主体

リスク対応

 ・リスクを修正するプロセス

リスク受容

 ・ある特定のリスクをとるという情報に基づいた意思決定
 ・リスク対応を実施せずにリスク受容となることも、またはリスク対応プロセス中にリスク受容となることもある
・受容されたリスクは、モニタリング（監視）及びレビューの対処となる

残留リスク

・リスク対応後に残っているリスク
・残留リスクには特定されていないリスクが含まれ得る
・残留リスクは、保有リスクともいう

リスクマネジメント

 ・リスクについて組織を指揮統制するための調整された活動