Como señala el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (ENS, en adelante), la gestión de riesgos de los sistemas de información de su ámbito de aplicación posibilita el mantenimiento de un entorno controlado, minimizando tales riesgos hasta niveles aceptables. La reducción de estos niveles de riesgo se realiza mediante el despliegue de medidas de seguridad, que
establecen un equilibrio entre la naturaleza de los datos y los tratamientos, los
riesgos a los que estén expuestos y dichas medidas de seguridad.