O processo de avaliação de riscos de segurança da informação, conforme prevê a ISO 27005, é uma atividade na qual a equipe de análise deve mensurar o nível de risco mediante o uso de resultados obtidos nas etapas anteriores da gestão de riscos, atribuindo valores para a probabilidade e a consequência de cada risco.