Прежде чем описывать процесс анализа рисков, важно определить связанные с этим термины:

• Риск (Risk) - вероятностное событие, которая может принести ущерб или повлиять на способность достижения целей. Риск измеряется вероятностью опасности, уязвимостью имущества к этой угрозе и последствиями, которые возникнут в случае реализации риска.
• Угроза (Threat) - любая ситуация, событие или деятельность, которые могут нанести ущерб системе используя ее уязвимость. Причину любого потенциального инцидента следует рассматривать как угрозу. Например сбой в электроснабжении это угроза, поскольку уязвимостью причиненной со стороны электросистемы можно воспользоваться. Каждая угроза обозначена степенью, которая показывает возможную вероятность возникновения события (на основе статистики). Эта степень используется в оценке рисков.
• Уязвимость (Vulnerability) - слабость, которую можно использовать. Например открытый порт брандмауэра или серверная комната без достаточной охлаждающей системы. Отсутствие меры квалифицируется так же уязвимостью.
• Имущество (Asset) - имущество поставщик услуг содержит все что можно использовать для оказания этой услуги как управление, организация, процесс, знания, люди, информация, применения, инфраструктура и финансовый капитал.

Вторая фаза процесса управления мощностями берётся за основы, чтобы определить план непрерывности ИТ. Это план, необходимые шаги для восстановления одной или нескольких ИТ-услуг.

Важными действиями на этой фазе являются следующие:

• Оцениваются по степени угрозы и уязвимости (анализ риска)
• Оценивается и измеряется уровень риска (анализ риска)
• Определяются действия для снижения риска до приемлемого уровня (анализ риска).

В ходе анализа риска (Risk analysis) анализируется стоимость имущества для бизнеса, распознаются угрозы и оцениваются уязвимости имущества к этим угрозам, Анализ риска может быть квантитативным (даёт численный ответ) или квалитативным.

В ходе анализа риска вычисляются степени риска по следующим показателям:

• Ценность ресурсов
• Степени риска разных ресурсов с учётом связанными с ними угрозами
• Уязвимость ресурсов

Управление рисками (Risk Management) это процесс, отвечающий за определение, анализ и управление рисков. Процесс содержит нахождение, выбор и применение необходимых противодействий в соответствии с обнаруженной степенью риска и граничной приемлемой степени риска.