a) Khái niệm
Theo Viện nghiên cứu Quản trị dự án Hoa Kỳ (US Project Management Institute - US PMI) và Hiệp hội Quản trị dự án Vương quốc Anh (UK Association for Project Management - UK APM) thì: Rủi ro trong quản trị dự án là một sự kiện hay điều kiện khơng chắc chắn mà nếu xảy ra sẽ có ảnh hưởng tích cực hoặc tiêu cực đến mục tiêu của dự án; Rủi ro là một sự kiện hay một tập hợp các tình huống khơng chắc chắn có thể xảy ra sẽ ảnh hưởng đến việc đạt được các mục tiêu của dự án.
Từ các khái niệm này, kết hợp với khái niệm về rủi ro đã nêu trên, có thể định nghĩa: Rủi ro cho thơng tin là những sự kiện, những tình huống, những nguy cơ hay những mối đe dọa nếu xảy ra sẽ gây mất an toàn và bảo mật thơng tin.
b) Các đặc trưng
Cũng như đối với rủi ro chung, rủi ro cho thơng tin có các đặc trưng
cơ bản là tần suất rủi ro và biên độ rủi ro. Tần suất rủi ro cho thơng tin
an toàn và bảo mật thơng tin trong một khoảng thời gian nhất định hay trong tổng số lần quan sát sự kiện. Còn biên độ rủi ro cho thơng tin thể hiện tính chất nguy hiểm, mức độ thiệt hại gây ra nghĩa là thể hiện hậu quả hay tổn thất do rủi ro gây ra về tài chính, tài nguyên thơng tin,...
c) Phân loại rủi ro cho thơng tin trong hệ thống thơng tin
Tùy thuộc vào các tiêu chí phân loại khác nhau, các rủi ro đối với hệ thống thơng tin cũng như đối với sự an toàn và bảo mật thơng tin trong hệ thống được phân thành các loại khác nhau. Các tiêu chí để phân loại rủi ro cho thơng tin trong hệ thống thơng tin bao gồm: phân theo nguyên nhân gây ra rủi ro; theo kết quả hay hậu quả; theo nguồn gốc; theo đối tượng gánh chịu rủi ro; theo khả năng kiểm soát, giảm tổn thất; theo các giai đoạn phát triển của đối tượng chịu rủi ro.
Nhằm xác định được những sự cố và những tổn thất nào cĩ thể gặp phải gây mất an toàn và bảo mật thơng tin nếu hệ thống thơng tin của tổ chức, doanh nghiệp bị tấn cơng, thơng thường các rủi ro lớn nhất mà hệ thống thơng tin của doanh nghiệp gặp phải bao gồm hai loại là rủi ro đến từ bên ngoài hệ thống và rủi ro từ chính nội bộ hoạt động của hệ thống.
Ngồi ra, cĩ nhiều cách phân loại rủi ro cho thơng tin khác như rủi ro chủ quan, khách quan; rủi ro tài chính, nhân lực, năng suất,... hay rủi ro bên trong và bên ngồi doanh nghiệp.