Visando a identificação, avaliação e tratamento dos riscos de segurança da informação, a norma ISO27002 (antiga ISO17799) recomenda a realização de uma Análise de Risco nos processos de negócio da empresa, para identificação de ameaças e vulnerabilidades existentes no ambiente da empresa que poderão causar um Incidente de Segurança, além de determinar sua probabilidade de ocorrência e estimar o impacto no negócio da empresa, a partir da valoração dos principais ativos da empresa.

O resultado da Análise de Risco servirá de base para futuras ações e definições do planejamento estratégico de segurança da informação da empresa e direciona a gestão de riscos para que somente sejam implantados controles caso existam riscos detectados nas áreas de negócios.

A Análise de Risco contempla a realização de Diagnóstico de Processos, Análise de Impacto e Diagnóstico de Vulnerabilidades.