A norma ABNT NBR ISO/IEC 27005:20011 aponta diretrizes e descreve um processo genérico para a gestão de riscos de segurança da informação de uma organização, deixando a cargo da mesma a escolha do método para a avaliação de riscos, em conformidade com suas características e particularidades. Nesse contexto, a metodologia de avaliação de riscos, qualitativa, caracterizada por ser executada em um curto espaço de tempo, em três etapas, pelos especialistas da própria organização, por meio de reuniões lideradas por um facilitador e aplicada a um ativo (qualquer elemento de valor para a organização) sistema ou processo de negócio por vez, é denominada: