ベースラインアプローチ

　標準化されたツールや手法によりリスクを評価する方法。
　低コストかつ迅速に実施可能で、安定した結果が得られる。
　反面最大公約数的な要素が多く、自社に特化したリスクなどには対応しにくい

詳細リスク分析

　自社組織の業態、業務フローに適合した形で実施する。
　情報資産の洗い出しや脅威の把握、脆弱性の検証、それらから導出されるリスクの分析など。
　うまく運用すれば自社リスクを網羅的かつ正確に指摘できる。
　反面実施に高度なスキルや人員、相応の分析期間を要し、コスト・実施期間等でベースラインより劣る。
　またもちろん、オリジナルの手法であるが故の失敗もあり得る。

複合アプローチ

　前二つの複合。まず簡単なアセスメントを行い、重要な業務に限り詳細リスク分析を適用し、一般業務はベースラインアプローチで済ます。

いずれのやり方をとるにしても、まず明確な実施方法を策定する必要がある。

JRAM

　日本情報処理開発協会(JIPDEC)によるもの。
　JRAM質問表というフォームにしたがって評価をおこなう。
　分析シートにより過去の実績から予想される損失額も算出可能
　現在はJRMSとしてさらに発展している。
　手順としては
　　１．JRAM質問表に基づくインタビュー
　　２．脆弱性分析
　　３．脆弱性と過去事例から予想損失額を算定

ALE

　米商務省標準局が策定。
　発生頻度と予想損失額をあらかじめ算定し、それに基づいて受容可能なリスク対応や対策コストを算定。
　発生頻度と損失額の予測が正確なら適切な対応を選択できる。
　手順としては
　１．リスクの予想損失額fと発生頻度iを算出
　２．fとiを関数に代入して年間予想損失額（ALE)を計算
　　　ALE=10(f+i-3)/3

CRAMM

　英国大蔵省とBSI(英国規格協会）による開発。質問表によりおこなう点はJRAMに類似。
　結果に基づき脅威と脆弱性を5段階評価し、対応策をリストから選択。
　手順は
　１．CRAMM質問表に基づくインタビュー
　２．脅威と脆弱性を5段階評価
　３．CRAMMリストから最低な対応策を選択

資産価値の算出

　資産の特定と資産価値の算出。
　資産ごとに機密性、完全性、可養成の観点から資産の重要度を判定する。
　喪失や漏洩が業務にもたらす影響を重点的に評価。
　また、対策によりどの程度その影響を除去できるかも重要。
　ex)顧客情報や業務のハウの漏洩は致命的かつ、回復のための対応も困難。
　　 一方ソフトウェア障害は再購入などで比較的容易に復旧可能。

脅威の特定と重要度の算出

　資産ごとに脅威を洗い出し、洗い出した脅威ごとに重要度を策定。
　発生頻度や影響を基準に評価。
　ここで頻度や被害額を算出できれば先のALEで利用可能。

脆弱性の特定と重要度の算出

　脅威同様に脆弱性についても評価。

定量的リスク評価

　リスクを数値により表す。予想損失と発生確率について評価する。
　正確な分析は困難であるため、完全に確立された手法はまだ無い。
　主観が入る余地は少ないため、普遍的な評価が可能。

定性的リスク評価

　評価者の経験や知識による評価。
　数値化の難しい要素を分析する際に利用。

定性的・定量的両面からみた評価をおこなうのが望ましい

リスク回避

　因子を排除する措置。
　主にハイリスク・ローリターンな因子に対し適用する。
　不必要なサービスの停止や、利益が少なく危険の多い業務の切捨てなど。

リスク最適化

　被害発生の予防措置や顕在化した場合に被害を最小限にとどめるための措置。
　バックアップやアクセスコントロールなど、一般にセキュリティ対策と呼ばれるのはこれ。

リスク移転

　業務運営上のリスクを他社に転嫁して対応する手法。
　アウトソーシングなど。

リスク保有

　受容水準内のリスクや、対策コストが被害コストを上回る場合、或いは事実上対応不能な場合には対策をしないのも一つの手段。
　放置とは違うので要注意。

これらの対策を適切に選択することが肝要。

新たなリスクの発生

　リスク対策による業務手続の変更が新たなリスクを生む場合もある。
　そういった場合のリスク評価も再帰的におこなう必要がある。

業務継続性の視点

　戦争やテロ、大規模災害等の予測不能な状況でいかに業務を継続するか。
　昨今、従来は保有していたリスクに対する対策が要求されている。
　手法としてはIDC（Internet Data Center:データ保存とアプリケーションサービスを24時間体制で提供する施設。主に外部委託）の導入などが徐々に浸透している