De acordo com a ISO 27005, um risco pode ser entendido como a combinação das consequências advindas da ocorrência de um evento indesejado e da probabilidade da ocorrência deste. Nesse contexto, há o processo de avalição dos riscos, que quantifica ou descreve o risco qualitativamente e capacita os gestores a priorizar os riscos de acordo com a gravidade percebida. Esse processo de avaliação dos riscos é composto pelas seguintes atividades: