国際標準化機構（ISO）と国際電気標準会議（IEC）が新たに策定した「ISO/IEC 27005：2008」は，リスク管理プロセスと情報セキュリティ管理にかかわる作業を規格化し，情報セキュリティ・リスク管理向けのガイドラインを提示するとともに，ISMS規格の「ISO/IEC 27001：2005」で規定された一般概念を補足している。このISOの情報セキュリティ・リスク管理プロセスは，組織全体に適用できる。組織内の各グループ（例：部門別，所在地別，担当サービス別など）やあらゆる情報システム，既存または計画中，特定の状況にある体制（例：事業継続計画）に当てはめられる。

・リスク評価の方法：リスクを評価する方法を決める。状況に合わせて定性的と定量的な方法と，両方を組み合わせた方法を使うだろう。定性的評価は，想定される結果の規模と起こりうる見込みを表現する尺度として，定性的な属性を利用する。定性的評価には，関係者全員に理解してもらいやすいというメリットがある。その一方で，尺度の主観的選択に影響されるというデメリットもある。定量的評価はさまざまな情報源から得たデータを利用し，結果と見通しを数値的な尺度で表現する（定性的評価は文章で表す）。この評価分析の善し悪しは，数値の精度および完璧度と，使用したモデルの有効性に左右される

セキュリティ・リスク管理の新たな標準規格「ISO/IEC 27005：2008」 | 日経 xTECH（クロステック）