Este documento habla sobre normas y estándares para la gestión de riesgos en sistemas de información. Explica términos clave como riesgo, peligro y daño. Describe normas iniciales como AS/NZ 4360 y NIST SP 800-34 que establecen procesos para identificar, analizar, evaluar, tratar y monitorear riesgos. También cubre matrices para calificar riesgos por impacto y frecuencia, y acciones correctivas y planes de contingencia para reducir riesgos.