A questa necessità fa capo l'Information Security Risk Management, un processo di valutazione dei rischi inerenti un sistema informatico e dell'efficacia dei controlli pianificati o realizzati per mitigarli.