ITパスポートの時も（そちらはどうにか合格はしましたが）そうだったのですが、過去に試験本番になって「リスク分析」と「リスク評価」がごちゃ混ぜになってしまったことがあって、今回の情報セキュリティマネジメントの試験でもそうなってしまいそうで不安です。
何か良い覚え方や考え方をご存知の方はいらっしゃらないでしょうか？
初歩的な質問で申し訳ありません。

オフィクレイド様

初めまして。

リスク評価とリスク分析のちがいについて
流れにそって、なんのためにやっているか考えてみましょう。

最終的な目的は、リスクに対応することにありますから、

リスク分析（危険性の大きさを算出する）
↓
リスク評価（分析に基づいて、処理の優先順位を判断する）

となります。すなわち、動詞で考えると
「分析してから、評価する」とイメージすればわかりやすいのでは。
ご参考になれば幸いです。