Segundo a norma NBR ISO/IEC 27005:2011, deve-se assegurar que, após o tratamento dos riscos, os riscos residuais sejam explicitamente aceitos pelos gestores da organização.

Essa ação, segundo a referida norma, dentro do processo de gestão de riscos de segurança da informação, ocorre na atividade de: