規格書によると、リスクアセスメントとは「リスク分析から、リスク評価までの全てのプロセス」という意味らしい。
情報資産一つ一つに、どんなリスクがあるのかを全て考え、それはどんな頻度で起きそうなのか、起きた場合どれぐらいの時間で復旧できるのかをはっきりさせ、 それらを総合し考えた結果を数値化して「リスクを評価」する作業のことだ。
その数値化のことを、リスクの定量化と呼ぶ。　

　全てのリスクについて、数値でその大小を考えることができるように、規格書に定められた観点からそのレベルを算出していくのだ。
数字にしてしまえば、リスクの大小が考えやすくなり、対策もここからここまでのレベルならやるけど、そうじゃないなら受容します、なんてことが容易になる。
　ただこのリスクアセスメント手法、ISMSにおいて特にこれだ！！というものはないらしい。
規格書にも注記として、「リスクアセスメントの方法には、幾つか異なるものがある。」なんて書かれているくらいだ。

　とはいえ、どんなに色々やり方があったとしても、規格なのだから、要求している基本的なことはちゃんと定められている。
その一つが最初に説明した定量化で、もう1つは比較・再現可能であることだ。
　比較とは、いろんなやり方でやったとしても、結果的には同じ数値が出なければならない、ということ。登山みたいに目指す頂上は一つだけど、登山ルートはいろいろある、みたいな感じ。 再現とは、自分がやった方法を他人がやってもちゃんとおんなじ結果にならなくてはいけない、ということだ。お料理のレシピを事細かに書いておけば、作る人が変わってもちゃんとおいしい料理ができるのと同じ感じ。 作る人の能力に差があったとしても、同じように同じ味のおいしいものができるように、レシピを書くことが必要になる。
やり方や、人によって、そのリスクの大小が変わってしまうようでは、世界規格とは言えないだろう。

　
　
　いろんなISMSのサイトを読んだり、日々ISMSの会議で聞き耳を立てていると、リスクマネジメント、という言葉が突然飛んで出てくることがある。
しかも、さっき「リスクアセスメント」と説明した同じ文脈で、その言葉を「リスクマネジメント」と言い換えていることがあって、戸惑うことがある。そういう時に限って、両者の違いを説明してないことが多い。ような気がする。
　
2つを訳すとわかるように、言葉は同義語ではない。
リスク「評価」がアセスメント、「運営」がマネジメント。
え、じゃあ、どっちでもよくないのにどっちでもいいみたいな使い方をしているの？？と、思うかもしれない。
実はそうではなくて、リスクマネジメントの作業の中の1つが、リスクアセスメントなのだ。