Die Risikoanalyse arbeitet mit methodischen Verfahren und beschäftigt sich mit der Erkennung und Bewertung von Gefahren und Bedrohungen, denen die Informationssysteme ausgesetzt sind.
Die Risikoanalyse erforscht menschliche und technische Schwachstellen um die Schadensfälle zu analysieren und deren Häufigkeit und Dauer zu reduzieren. Die methodischen Verfahren werden von quantitativen Ermittlungen von Ausfall- und Gefährdungswahrscheinlichkeiten unterstützt.
Neben der analytischen Bewertung des Risikos und der Abschätzung der Wahrscheinlichkeit zukünftiger Gefahren, geht es bei der Risikoanalyse um die Konsequenzen und die Kosten, die sich aus den Ausfallzeiten der IT- Systeme und einem möglichen Datenverlust ergeben.
Die Ergebnisse der Risikoanalyse fließen in die sicherheitsrelevanten Entwicklungen der IT-Systeme und in das Risikomanagement ein.