A gestão de riscos é um conjunto de atividades coordenadas para permitir que a organização se prepare para lidar com os riscos, de forma sistemática e customizada, conforme cada situação. No caso da NBR ISO/IEC 27005, a gestão de riscos é necessária para a eficácia

No processo de gestão de riscos da segurança da informação, segundo a NBR ISO/IEC 27005, identificação, análise e avaliação de riscos são atividades relativas

Segundo a NBR ISO/IEC 27005, modificar, reter, evitar ou compartilhar riscos são opções potenciais para adoção da atividade do processo de gestão de riscos denominada

Segundo a NBR ISO/IEC 27005, a identificação de controles existentes, de ameaças e de vulnerabilidades é atividade constante do processo de gestão de riscos denominada