Analýza rizik IS slouží k posouzení aktuálního stavu bezpečnosti informačního systému. Jejím cílem je identifikovat rizika a nalézt slabá místa informačního systému z hlediska bezpečnosti, tyto poznatky zahrnout do dokumentu analýzy rizik IS a navrhnout managementu, či odpovědným složkám, vhodná protiopatření. Obsahuje pohledy na organizační, administrativní, fyzickou, počítačovou a personální oblast bezpečnosti, které jsou dány také vnitřními požadavky organizace a legislativou.
Mezi hlavní přínosy analýzy rizik IS patří:
zjištění aktuálních poznatků o informační bezpečnosti v organizaci nezávislou stranou – stanovení aktuální úrovně bezpečnosti IS;
identifikace rizik a slabých míst v zabezpečení, které bezprostředně ohrožují klíčové funkce a aktiva organizace;
významné zvýšení úrovně bezpečnosti IS implementací navržených opatření;
získání podkladů pro rozhodnutí managementu o přidělení investic do bezpečnosti ICT.