Com assenyala el Reial decret 3/2010, de 8 de gener, pel qual es regula l’Esquema Nacional de Seguretat en l’àmbit de l’Administració Electrònica (ENS, d’ara en avant), la gestió de riscos dels sistemes d’informació del seu àmbit d’aplicació possibilita el manteniment d’un entorn controlat, minimitzant tals riscos fins a nivells acceptables. La reducció d’aquests nivells de risc es realitza mitjançant el desplegament de mesures de seguretat, que
estableixen un equilibri entre la naturalesa de les dades i els tractaments, els
riscos als quals estiguen exposats i aquestes mesures de seguretat.