リスクアセスメントを実施する前に

会社に存在する危険や改善点のセルフチェック（以降、リスクアセスメント）を実施する前に、社内で情報を取り扱っている業務を適正な状態にすることが、リスクアセスメントの効果をあげるポイントになります。

リスクアセスメントの順序

情報セキュリティリスクアセスメントは以下の8ステップで実施していきます。

1. (1)資産の特定
2. (2)脅威の特定
3. (3)脆弱性の特定
4. (4)影響の特定
5. (5)リスク分析
6. (6)リスク対応
7. (7)管理目的及び管理策の選択
8. (8)適用宣言書の作成

業務内容の情報を整理する

管理する対象の情報資産を効果的に特定するためには業務内容の精査する必要があります。
業務内容の精査とは情報資産を洗い出し、各情報資産で取得から入力・更新、移送、送信、参照、加工、複写、保管、バックアップ消去・廃棄などの一連の流れ（情報のライフサイクル）を指します。
この特定方法のメリットは情報資産を漏れがなく業務の流れにそって特定できることにあります。
たとえば、この作業は本当に必要か？このデータのコピーは必要なのか？などといったように、定例化してしまっている作業を無意味に継続してしまっているケースを見つけることが可能です。
このように、現在では必要のない情報の取扱いを見直すことで、適正化を実施することができます。

資産を特定する

業務内容の情報整理のあとに、洗い出された情報資産の管理対象を明確にします。
ここで使用する台帳として情報資産管理台帳（資産目録）があります。
この台帳に情報資産の名称や管理責任者、保管場所、廃棄方法、使用の制限などを記載していきます。