A Norma ABNT NBR ISO/IEC 27005:2011 recomenda que o processo de avaliação de riscos de segurança da informação receba como entrada
os critérios básicos, o escopo e os limites da avaliação de riscos e a organização do processo de gestão de riscos de segurança da informação que se está definindo.
a relação de riscos identificados e as ações para responder adequadamente a cada risco de segurança da informação.
a relação de riscos identificados, a probabilidade de cada risco ocorrer, o impacto de cada risco no negócio e as ações para mitigar estes riscos.
o plano de tratamento de riscos, o plano de continuidade de negócios e a política de segurança da informação.
o escopo da avaliação de riscos, a matriz de probabilidade e impacto de cada risco e o termo de ciência da alta direção em relação aos riscos.