Większość jednostek i firm będzie zobowiązanych do szacowania ryzyka przetwarzania danych oraz wykonywania oceny skutków ich przetwarzania.
Niemal każdy przetwarzając dane narażony jest na wpływ czynników wewnętrznych oraz zewnętrznych, które mogą spowodować naruszenie bezpieczeństwa, prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia, nieuprawnionego dostępu do danych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Powyższy stan nazywamy RYZYKIEM, gdyż jest możliwość niezrealizowania założeń organizacji w wyniku zajścia określonych zdarzeń. Zasadniczo ryzyko można podzielić na biznesowe / statutowe oraz operacyjne. Ryzyko biznesowe to możliwość poniesienia strat w wyniku niewłaściwych decyzji co do doboru klientów, kształtu produktów i usług lub zobowiązań wobec partnerów biznesowych albo w wyniku niesprawności lub niespójności systemu. Ryzyko operacyjne to ryzyko strat w wyniku niewłaściwego lub błędnego działania procesu, ludzi i systemów albo wpływu zagrożeń zewnętrznych. Ryzyko operacyjne obejmuje także ryzyko niewypełniania obowiązków prawnych w działalności bieżącej.