A norma ABNT NBR ISO/IEC 27005 fornece orientações para ajudar as organizações a: cumprir os requisitos da ABNT NBR ISO/IEC 27001 em relação às ações para abordar riscos de segurança da informação; realizar atividades de gestão de riscos de segurança da informação, especificamente avaliação e tratamento de riscos de segurança da informação. De acordo com essa norma, uma vulnerabilidade é
a fraqueza de um ativo ou controle que pode ser explorada e então pode ocorrer um evento com uma consequência negativa.
a causa potencial de um incidente de segurança da informação que pode resultar em danos a um sistema ou prejuízos a uma organização.
uma série de eventos de segurança da informação indesejados ou inesperados que têm uma probabilidade significativa de comprometer as operações do negócio.
a probabilidade de que um evento adverso cause impacto negativo nos ativos de informação de uma organização.