Todas las instalaciones se enfrentan a un cierto nivel de riesgo asociado a diversas amenazas. Estas amenazas pueden ser el resultado de eventos naturales, accidentes o actos intencionales para causar daño.
El primer paso en un programa de gestión de riesgos es una evaluación de la amenaza. Una evaluación de la amenaza considera todo el espectro de amenazas (es decir, naturales, criminales, terroristas, accidentales, etc.) para una instalación/localización determinada.
Una vez que se identifican las amenazas plausibles, se debe realizar una evaluación de la vulnerabilidad. En la evaluación de la vulnerabilidad se consideran las posibles repercusiones de las pérdidas ocasionadas por un ataque exitoso, así como la vulnerabilidad de la instalación/localización a un ataque. El impacto de la pérdida es el grado en que la misión del organismo se ve perjudicada por un ataque exitoso de la amenaza dada. Un componente clave de la evaluación de la vulnerabilidad es la definición adecuada de las calificaciones del impacto de la pérdida y la vulnerabilidad.
Una combinación de la calificación del impacto de la pérdida y la calificación de la vulnerabilidad puede utilizarse para evaluar el posible riesgo que una determinada amenaza supone para la instalación.

