การประเมินความเสี่ยงด้านความปลอดภัยสารสนเทศเป็นกระบวนการที่ใช้ในการระบุวิเคราะห์ ประเมิน จัดระดับความเสี่ยงที่มีผลกระทบต่อหน่วยงานหรือองค์กร ผู้ที่ได้รับมอบหมายและผ่านการฝึกอบรมในเรื่องการประเมินความเสี่ยงด้านความปลอดภัยสารสนเทศดำเนินการรวบรวมทรัพย์สินเครื่องจักร อุปกรณ์ต่าง ๆ ที่มีความจำเป็นต่อการดำเนินธุรกิจภายในขอบเขตของระบบการจัดการความปลอดภัยสารสนเทศเพื่อนำมาประเมินความเสี่ยงฯ ซึ่งมี 5 ขั้นตอนดังนี้

1. การระบุความเสี่ยง

2. การวิเคราะห์ความเสี่ยง

3. การกำหนกมาตการ

4. การติดตามรายงานประเมิณผล

5. การทบทวนระบุกรอบเวลา