Risco é a possibilidade de alguma coisa adversa acontecer. O processo de gerenciamento de risco se resume em determinar controles de segurança que reduzam os riscos a níveis aceitáveis. O risco residual deve ser aceito e devem ser instituídos controles que garantam o tratamento dos eventuais incidentes de segurança.

O documento do NIST (National Institute of Standards and Technology) que provê um guia para o tratamento de incidentes de segurança de computadores de forma eficiente e efetiva é o