Rizika mohou být bezpečnostní, finanční, legislativní nebo reputační a často se vzájemně prolínají. Ve veřejné správě má řízení rizik zvláštní význam u kritických služeb a systémů, které dopadají na velké skupiny občanů. Proces začíná identifikací hrozeb a zranitelností a pokračuje odhadem dopadů a pravděpodobnosti. Na základě toho se rozhoduje, zda riziko snížit, akceptovat, přenést nebo mu předejít. Řízení rizik by mělo být průběžnou aktivitou, ne jednorázovým dokumentem spojeným jen s projektem. Důležité je zapojení vedení, protože některá rizika nelze ošetřit jen technickými opatřeními. Výstupy z analýz rizik by měly být použitelné pro prioritizaci investic a změn v systémech. V praxi je dobré začít s menším, ale živým registr rizik, který se pravidelně aktualizuje a používá při rozhodování.
