Il Risk assessment è un'analisi approfondita che individua analiticamente le aree e gli aspetti di maggiore criticità, le aree di vulnerabilità e di non conformità agli standard di sicurezza del sistema informativo, analizzando l'adeguatezza del piano di sicurezza, delle difese perimetrali e della sicurezza applicativa.

Le analisi e le raccomandazioni sono raggruppate secondo tre dimensioni fondamentali di intervento: organizzativa, applicativa e di rete.

Durante la fase di analisi vengono precisate le caratteristiche dell'ambiente da esaminare e precisamente hardware installato, struttura delle reti, meccanismi di sicurezza, tipologia dei servizi erogati, software utilizzato.

L'output principale del servizio di Risk assessment è costituito dal documento Security Master Plan, composto da una prima sezione che comprende una serie di report che dettagliano l'entità e la tipologia dei rischi relativi alle risorse aziendali da proteggere, e da una seconda sezione che comprende una sintesi delle criticità e delle raccomandazioni associate.
In alcuni casi l'output può comprendere una o più ipotesi di modifica/integrazione dell'architettura di rete, al fine di aumentare il livello globale di sicurezza.