A norma brasileira ABNT NBR ISO/IEC 27001:2013 provê requisitos para estabelecer,
implementar, manter e melhorar continuamente um Sistema de Gestão de Segurança da Informação
(SGSI). Ela emprega terminologia derivada da norma internacional ISO/IEC 27000. Esta última
estabelece um conjunto de conceitos relacionados a risco. Um desses é definido como “O processo
para compreender a natureza do risco e para determinar o nível de risco”. O conceito assim definido
na ISO/IEC 27000 é: