Любая организация это некая система управления деятельностью.

Как часть общей системы управления выделяют систему управления информационной безопасностью(СУИБ).

В той или иной мере любая организация хотя бы задумывается о вопросах инфомрационной безопасности.

Воспользуемся определением из википедии:

"Управление информационной безопасностью (англ. Information security management, ISM) — это циклический процесс, включающий осознание степени необходимости защиты информации и постановку задач; сбор и анализ данных о состоянии информационной безопасности в организации; оценку информационных рисков; планирование мер по обработке рисков; реализацию и внедрение соответствующих механизмов контроля, распределение ролей и ответственности, обучение и мотивацию персонала, оперативную работу по осуществлению защитных мероприятий; мониторинг функционирования механизмов контроля, оценку их эффективности и соответствующие корректирующие воздействия[1]."

Определение вроде бы не плохое но нужно понимать что определение "степени необходимости" обеспечения информационной безопасности строиться именно на анализе рисков ИБ.

Таким образом критическим элементом СУИБ является анализ рисков ИБ, который как раз и говорит о том, что необходоимо защищать и в какой степени.

Так никакие средства защиты информации установленные и функционирующие не говорят о том, что организация эффективно управляет информационной безопасностью. Для этого необходимо управлять рисками ИБ.

В некоторых областях деятельности существуют стандарты/законы исполнение которых говорит о достижении компанией некоторого уровня ИБ. Например, защита государственных секретов, PCI DSS или стандарт для защиты АСУТП систем . Но это не говорит о том что анализа рисков там не проводилось просто его сделали за Вас и спустили в виде некоторых правил. В терминах анализа рисков ИБ такие риски (не соблюдения каких либо стандартов или законов) будут являться рисками несоответствия и также должны быть оценены.