Resiko = likelihood / frequency x impact
Jadi besarnya risiko tergantung dari dua kombinasi hal tersebut diatas. Bisa jadi dampaknya besar tapi kemungkinannya kecil, jika ditotalkan risiko itu menjadi lebih kecil. Berikut konsep dasar risiko sistem informasi:
1. Vulnerability (kerentanan)
   Contoh kerentanan dari suatu aset sistem informasi adalah aplikasi. Kerentanan dari sistem operasional windows.
2. Threat (ancaman)
Contoh sebuah ancaman dalam sistem informasi adalah adanya virus dan hackers.
Risiko sistem informasi bisa terjadi dikarenakan  sistem mempunyai hole (lubang) yang kemudian dimanfaatkan oleh threat (ancaman), Misalkan virus atau hackers. Kombinasi inilah yang memunculkan adanya risiko.
Seiring dengan perkembangan pemanfaatan sistem informasi dalam suatu organisasi, risiko sistem informasi dapat terjadi pada berbagai level atau tingkatan manajemen di antaranya :
1. Â Â Level Strategis, pada level strategis lebih terkait dengan value sistem informasi. Bisa kita gunakan untuk membuat inisiatif bisnis baru atau bisa kita gunakan untuk operasional yang lebih fashion disitu muncul resiko , apakah benar-benar sistem informasi itu bisa memungkinkan hal tersebut bisa terjadi.
2. Â Â Level Proyek, Â pada level ini banyak sekali proyek-proyek sistem informasi yang gagal dalam perjalanannya, kemudian relevansi proyek tersebut dengan tujuan organisasi, ini juga termasuk risiko dari pada proyek, kemudian proyek over run artinya proyek tidak berjalan sesuai dengan jadwal. Misal penyelesaian proyek waktunya terlambat serta biaya yang membengkak.
