Na NBR ISO 27005:2019, é estabelecido que a análise
de riscos pode ser empreendida com diferentes graus de
detalhamento, dependendo da criticidade dos ativos, da
extensão das vulnerabilidades conhecidas e dos incidentes anteriores envolvendo a organização. Há uma metodologia de análise de riscos que utiliza uma escala com
atributos que descrevem a magnitude das consequências
potenciais (por exemplo, pequena, média e grande) e a
probabilidade de essas consequências ocorrerem (por
exemplo, alta, média e baixa).
Essa metodologia de análise de riscos é classificada como