Risk on võimalus, et millegi tegemisel või tegemata jätmisel tekib ebasoodne olukord, mille tulemuseks on kaotus. Riske tuleb ette näha ja püüda nende mõju vähendada. Riskiga tegelemise vajalikkuse üle saab otsustada peale vastavat analüüsi. Iga riski kohta saab määrata tema esinemistõenäosuse (madal, keskmine kõrge) ning milline on riski realiseerumise tagajärg (ebaoluline, talutav, tõsine, katastroofiline).

Iga süsteemi (sh tarkvarasüsteemi) tööga kaasnevad riskid. Kaasaegsed tarkvarasüsteemid hoiavad ja töötlevad erinevaid andmeid (meditsiinilisi, isikuandmeid, militaarandmeid ja ka salastatud andmeid). Nende andmete vastu on huvi organiseeritud kuritegevusel, terroristidel jms. Andmed on häkkerite, viiruste ja nuhkvara võimaliku rünnaku igapäevase riski all. Riski kujutavad endast ka ebalojaalsed töötajad, kes võivad andmeid varastada. Neid riske saab vähendada ehitades tarkvara turvaliseks ja võimalikult turvaauguvabaks. Ligipääs andmetele peab olema turvatud nii tarkvaraliselt kui ka riistvaraliselt. Üheks riskide allikaks on ka tõrked süsteemi töös. Ühelt poolt võivad need anda võimaluse andmetele ligipääsuks, teisalt mõjutab süsteemi kokkukukkumine firma igapäevast äritegevust ehk tekib oht, et firma ei saa täita oma põhifunktsioone.

Üheski praktilises süsteemis ei ole olemas täielikku turvet, st täielikku käideldavust, täielikku terviklust ja täielikku konfidentsiaalsust. Millistele infoturbe aspektidele tuleb konkreetsete andmete korral tähelepanu pöörata, oleneb konkreetsest infosüsteemist ja selle otstarbest, st käideldavate andmete väärtusest. Enamasti tuleb arvesse võtta turvalisuse kõiki kolme komponenti, kuid erinevate kaaludega. Organisatsioonis nõutav infoturbe tase sõltub organisatsiooni ülesannetest, õigusaktidest ja eeskirjadest, organisatsiooni tegevuse sisemisest korraldusest, infosüsteemide ja ka teenuseandjate ja koostöö- või lepingupartnerite tagatud või nõutud turvatasemest jms. Niisiis tähendab andmete turvalisus, et on saavutatud kolm eesmärki: teabe käideldavus, teabe terviklus, teabe konfidentsiaalsus.