Es un proceso que se realiza para estimar la magnitud de los riesgos a que está expuesta una organización. Proceso que permite comprender la naturaleza del riesgo y determinar el nivel de riesgo. Identificación de las amenazas que acechan a los distintos componentes pertenecientes o relacionados con el sistema de información para determinar la vulnerabilidad del sistema ante esas amenazas y para estimar el impacto o grado de perjuicio que una seguridad insuficiente puede tener para la organización, obteniendo cierto conocimiento del riesgo que se corre.
Los responsables y encargados de tratamiento deben aplicar medidas de cumplimiento en función del riesgo de los tratamientos de datos que se realizan con el fin de determinar qué medidas aplicar y cómo hacerlo.
Este análisis del riesgo variará en función de:
- Los tipos de tratamiento
- La naturaleza de los datos
- El número de interesados afectados.
- La cantidad y variedad de tratamientos que realice una misma organización.