Risco é a possibilidade de alguma coisa adversa acontecer. O processo de gerenciamento de risco se resume em
determinar controles de segurança que reduzam os riscos
a níveis aceitáveis. O risco residual deve ser aceito e devem ser instituídos controles que garantam o tratamento
dos eventuais incidentes de segurança.
O documento do NIST (National Institute of Standards and
Technology) que provê um guia para o tratamento de incidentes de segurança de computadores de forma eficiente
e efetiva é o