Carol woody ( 2006) menjelaskan manajemen risiko merupakan suatu proses berulang yang membahas analisa, perencanaan, implementasi, kontrol dan pengawasan terhadap kebijakan dan pengukuran implementasi kebijakan keamanan. Sebaliknya, penilaian risiko dilakukan pada waktu tertentu (contohnya setahun sekali, dll) dan memberikan gambaran sementara penilaian risiko dan juga memberikan ukuran terhadap proses manajemen risiko.
Wright (1999) menyatakan bahwa manajemen risiko merupakan proses membangun dan memelihara keamanan sistem informasi di dalam organisasi. Wright juga menambahkan jantung dari manajemen risiko adalah penilaian risiko dimana risiko dari sistem diidentifikasi dan dievaluasi untuk menyesuaikan kontrol keamanan. Hubungan antara manajemen risiko dan penilaian risiko terlihat dari Gambar 1 di bawah ini.
Gambar 1. Hubungan antara manajemen risiko dan penilaian risiko (Carol Woody, 2006 )
Technical Department of European Network and Information Security Agency (ENISA) Section Risk Management (2006) menjelaskan manajemen risiko adalah proses penilaian pada alternatif kebijakan yang dikonsultasikan kepada pihak terkait, yang berhubungan dengan penilaian risiko dan dan faktor yang sah lainnya, dan memilih pencegahan yang tepat dan pilihan kontrol.