リスク分析に関してよく聞かれるのは、このリスク分析はCSMS(IEC 62443 制御システムのリスクマネジメントシステム)とどう違うの?ということです。
また。セキュリティに関する約束ごとが一つ増えた、というような感触を覚えるのは不自然ではありません。
ひとことで言うとリスク分析はCSMSの要求事項の一つで、その具体的なやり方をまとめたものが、IPAの、制御システムのセキュリティリスク分析ガイドなのです。
CSMSでもISMS(ISO/IEC27001 情報システムのセキュリティリスク管理システム)でも、リスク分析が必要と記述されています。特にCSMSでは詳細リスク分析を行うのが必要な要件となっています。ところがその詳細リスク分析の手法はどのように、というと色々なものが名前は聞くけれど実態は・・・?という状態なのかと思います。
IPAのでは、資産ベースのリスク分析と事業被害ベースのリスク分析の2つの詳細リスク分析を説明しています。色々な詳細リスク分析の手法はありますが、これほど細かく手法について説明した資料は無いのではないかと思います。厚いですがぜひご覧いただき、役立たせてください。