O documento discute a gestão de riscos, definindo risco como a combinação entre a probabilidade e o impacto de eventos futuros. A análise de riscos identifica eventos, avalia probabilidades e impactos. A gestão de riscos busca garantir que objetivos estratégicos de negócio não sejam comprometidos por falhas de TI, requerendo revisão e aprovação da alta gestão no plano de ação. A gestão de riscos deve ser um processo contínuo de monitoramento e avaliação.