在個資安全維護計畫中,決定如何分配組織可用於個資管理資源的關鍵,在於風險分析及評估。而何謂風險?有認為「風險」一詞源自義大利文「膽識」之意(Risicare),風險被認為是一種選擇,為個人憑藉膽識而採取的行動,取決於個人資源多寡,進而影響其所採取的行動。將視角轉換至東方社會,民間對於風險概念的討論,最普遍的說法,回溯到過去以打魚捕撈為生的漁民,每次出海前總須祈求神明保佑出海時能夠風平浪靜、滿載而歸。正因為「風」乃無法完全控制的「危險」,因此有了「風險」一詞的由來。
然而,風險因本身的不可預期性,而無法完全消滅的,以經濟學的角度觀之,企業往往因為資源有限,而無法針對所有已識別的風險全方位的管理,因此「風險管理」可以理解為,企業如何運用有限資源,管理可能導致企業偏離預期目標的結果。而現代企業面臨到的各種不確定性因素更甚以往,因此如何質化以及量化風險,從而協助企業做出更理性的抉擇,有賴建立一套有效、一致、可比較的風險管理機制,將風險控制在企業可承受風險基準內。