A norma de segurança NBR-ISO/IEC 27005 tem por objetivo traçar ações para lidar com os riscos de segurança da informação, além de realizar atividades de gerenciamento na área, com aplicação em todas as organizações, independente de tipo, tamanho ou setor. Nesse gerenciamento, a avaliação de riscos envolve três etapas, sendo uma que está associada ao processo de encontrar, reconhecer e descrever riscos, enquanto outra ao processo de compreender os tipos de riscos e determinar seus níveis, mediante critérios preestabelecidos. Essas duas etapas são denominadas, respectivamente: