A norma ABNT NBR ISO/IEC 27005 – Tecnologia da Informação – Técnicas de segurança – Gestão de Riscos de segurança da informação – estabelece quatro opções para o tratamento de riscos em um sistema de informação, sendo duas dessas opções: