A A decisão de aceitar um risco.
B O risco remanescente após o tratamento de riscos.
C Um evento simples ou uma série de eventos de segurança da informação indesejados ou inesperados, que apresentem grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação.
D A preservação da confidencialidade, da integridade e da disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas.
E Uma ocorrência identificada de um estado de sistema, serviço ou rede, indicando uma possível violação da política de segurança da informação ou uma falha de controles; ou uma situação previamente desconhecida que possa ser relevante para a segurança da informação.