A NBR ISO/IEC 27005:2023 visa traçar ações para lidar com os riscos de Segurança da Informação, além de realizar atividades de gerenciamento na área, especificamente avaliação e tratamento de riscos. As ações para tratamento de risco denominam-se Respostas ao Risco. Contratar um seguro, é um exemplo de: