分野：テクノロジ系
中分類：セキュリティ
小分類：情報セキュリティ管理

JIS Q 27000は、情報セキュリティマネジメントシステムに係る用語を定義したJIS規格です。この中で「リスク評価」は次のように定義されています。

「リスク及び／又はその大きさが，受容可能か又は許容可能かを決定するために，リスク分析の結果をリスク基準と比較するプロセス」

リスク評価の目的は，リスク分析の成果および組織の状況を考慮して確定されたリスク基準に基づき、どのリスクへの対応が必要か、対応の実践の優先順位はどうするかについて意思決定を手助けすることです。したがって「イ」が正解です。

• リスク対応の説明です。
• 正しい。リスク評価の説明です。
• リスク分析の説明です。
• リスク特定の説明です。