A norma ABNT NBR ISO/IEC 27005:2011 adota um processo genérico de gestão de riscos, composto de seis fases: definição do contexto; processo de avaliação de riscos; tratamento do risco; aceitação do risco; comunicação e consulta do risco; e monitoramento e análise crítica de riscos. Tal processo é fundamentado no ciclo PDCA. A fase do processo de gestão de riscos que tem como resultado a lista de riscos residuais é: