A norma NBR ISO/IEC 27005:2011 apresenta quatro opções possíveis para o tratamento de riscos. Quando os riscos identificados são considerados demasiadamente elevados e quando os custos da implementação de outras opções de tratamento do risco excederem os benefícios, a opção indicada, segundo a referida norma, para o tratamento do risco é a: