การประเมินความเสี่ยงด้านความปลอดภัยสารสนเทศเป็นกระบวนการที่ใช้ในการระบุวิเคราะห์ ประเมิน จัดระดับความเสี่ยงที่มีผลกระทบต่อหน่วยงานหรือองค์กร ผู้ที่ได้รับมอบหมายและผ่านการฝึกอบรมในเรื่องการประเมินความเสี่ยงด้านความปลอดภัยสารสนเทศดำเนินการรวบรวมทรัพย์สินเครื่องจักร อุปกรณ์ต่าง ๆ ที่มีความจำเป็นต่อการดำเนินธุรกิจภายในขอบเขตของระบบการจัดการความปลอดภัยสารสนเทศเพื่อนำมาประเมินความเสี่ยงฯ ซึ่งมี 5 ขั้นตอนดังนี้
1. การระบุความเสี่ยง
2. การวิเคราะห์ความเสี่ยง
3. การกำหนกมาตการ
4. การติดตามรายงานประเมิณผล
5. การทบทวนระบุกรอบเวลา