Высокие технологии позволяют не только повысить эффективность бизнес-процессов, но и могут стать источником колоссального ущерба. Поэтому ИТ-рисками необходимо управлять также, как и традиционными бизнес-рисками.
Управление ИТ-рисками состоит из их периодической оценки и выполнения мероприятий по снижению выявленных рисков до приемлемого уровня. При этом величины выявленных рисков используются для определения размеров разумных инвестиций в информационную безопасность. На Западе законодательство предписывает компаниям управлять ИТ-рисками, к примеру, в США этого требует закон Сарбейнса-Оксли, принятый в 2002 году. Стандарты в области информационной безопасности, которые должны соблюдать и отечественные предприятия, например ISO17799, BS7799, ISO27001, также предусматривают механизмы управления ИТ-рисками. Оценка последних позволяет компании определить оптимальный объем расходов на обеспечение информационной безопасности и разумно спланировать мероприятия по ее поддержке.