Анализ рисков включает оценку возможности реализации угроз и оценку экономического, репутационного и иного ущерба от их возможных последствий. По результатам анализа рисков возможен обоснованный выбор определенной стратегии управления рисками с их принятием или внедрением мер по противодействию рискам.
Анализ рисков осуществляется в соответствии со стандартом ГОСТ Р ИСО/МЭК 27005-2010 «Информационная технология (ИТ). Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности».