Evaluaciones de seguridad de la información orientadas a determinar la exposición a riesgos, determinando los posibles impactos y frecuencias con las cuales los activos de información pudiesen verse afectados y con base a la severidad y análisis del riesgo desarrollar las contramedidas y mitigación apropiadas.