Ryzyko informacyjne
dotyczy poziomu bezpieczeństwa informacyjnego i jest określane jako zespół czynników, działań lub czynności, które powodują określoną, przewidywalną szkodę lub stratę w zakresie dostępu, tworzenia, wykorzystania, udostępniania, obrotu, przesyłania i utraty różnego rodzaju danych i informacji. Jest ono nieodłącznym elementem, wręcz atrybutem, każdej sytuacji decyzyjnej z zakresu zarządzania informacjami. Ryzyko informacyjne charakteryzuje się prawdopodobieństwem wystąpienia przewidywalnych negatywnych skutków zdarzeń, a więc w pewnym stopniu jest związane z odczuwaniem niepewności (przez T.T. Kaczmarka stawianej na przeciwległym do ryzyka biegunie) co do ich konsekwencji. Wykorzystując teorię ryzyka R.W. Griffina do zdefiniowania ryzyka informacyjnego, należy je rozumieć jako pewien stan lub sytuację, w której możliwości podejmowania określonych działań związanych z reakcją na zagrożenia bezpieczeństwa informacyjnego (nie tylko) państwa oraz potencjalne straty (koszty) i korzyści z tego wynikające, można oszacować z pewnym prawdopodobieństwem. Ryzyko informacyjne określane także bywa ryzykiem wystąpienia zagrożeń informacyjnych, będącym funkcją zasięgu (wymiar lokalny, państwowy, ponadpaństwowy, regionalny, globalny) i prawdopodobieństwa ich zaistnienia.
Podejmowanie ryzyka o charakterze informacyjnym dotyczy dwóch aspektów: spodziewanych korzyści płynących z podjęcia ryzyka (płaszczyzna pozytywna) lub uniknięcia straty będącej wynikiem prawdopodobnych, niekorzystnych z punktu widzenia osoby podejmującej ryzyko, rozstrzygnięć (płaszczyzna negatywna). Pierwsza płaszczyzna może dotyczyć podejmowanego przez osobę ryzyka związanego z nieuprawnionym ujawnieniem informacji (tzw. przeciek) w celu osiągnięcia wymiernych korzyści (np. wizerunkowych, legislacyjnych, politycznych, ekonomicznych). Natomiast druga płaszczyzna odnosi się do sytuacji podejmowania ryzyka informacyjnego w celu uniknięcia prawdopodobnej straty lub szkody wynikającej np. z bezprawnego korzystania z zasobów informacyjnych (np. wytworów własnej twórczości naukowej) znajdujących się w sieci przez osoby trzecie (udostępnienie twórczości naukowej w internecie na zasadach licencyjnych wiąże się z ochroną własności intelektualnej przed nieuczciwością użytkowników wirtualnej rzeczywistości (zob. ochrona własności intelektualnej w sieci), ale także z ryzykiem ograniczenia dostępu do tych treści osobom, które chciałyby je wykorzystać jedynie do celów naukowych).
Niezależnie od ujmowania analizowanego stanu w kategoriach ryzyka czystego lub dynamicznego ryzyko informacyjne można określić jako deficyt informacji co do możliwości osiągnięcia określonego celu z zakresu ochrony bezpieczeństwa informacyjnego lub bezpieczeństwa informacji. O poziomie bezpieczeństwa informacyjnego świadczą, oprócz systemów i sieci teleinformatycznych, infrastruktury krytycznej, ochrony informacji niejawnych i ochrony danych osobowych, również analiza zagrożeń oraz zarządzanie ryzykiem rozumiane jako tworzenie architektury bezpieczeństwa zasobów informacyjnych. Ocena ryzyka informacyjnego związanego z możliwością utraty zasobów lub uszkodzenia danego systemu informacyjnego musi uwzględniać jego warunki bezpieczeństwa, czyli poufność, integralność, dostępność, rozliczalność, autentyczność i niezawodność. Przy opisie ryzyka informacyjnego bierze się pod uwagę czynniki ryzyka przedstawione przez H. Świebodę, a więc: zakres ryzyka (opis jakościowy danego zdarzenia), charakter ryzyka (np. informatyczne, strategiczne, medialne itp.), grupy nacisku (wraz z ich oczekiwaniami), opis ilościowy ryzyka (prawdopodobieństwo wystąpienia zagrożeń informacyjnych), poziom akceptowalnego ryzyka (prawdopodobna wielkość poniesionych strat), działania względem ryzyka (zarządzanie, kontrola i monitoring ryzyka), potencjalne możliwości poprawy sytuacji (zalecenia co do perspektywy zmniejszenia poziomu ryzyka), tworzenie odpowiednich strategii (planów krótkookresowych uwzględniających ocenę ryzyka informacyjnego w niedalekiej przyszłości).
R.W. Griffin, Podstawy zarządzania organizacjami, PWN, Warszawa 2005; T.T. Kaczmarek, Ryzyko i zarządzanie ryzykiem. Ujęcie interdyscyplinarne, Difin, Warszwa 2005; T.T. Kaczmarek, Zarządzanie ryzykiem. Ujęcie interdyscyplinarne, Difin, Warszawa 2010; H. Świeboda, Ryzyko zagrożeń informacyjnych bezpieczeństwa narodowego, [w:] Ryzyko w zarządzaniu kryzysowym, P. Sienkiewicz, M. Marszałek, P. Górny (red.), Wydawnictwo Adam Marszałek, Toruń 2012; M. Lisiecki, Ryzyko w zarządzaniu bezpieczeństwem obywateli, [w:] Zarzadzanie ryzykiem – wyzwania XXI wieku, B.R. Kuca (red.), Wydawnictwo Wyższej Szkoły Zarządzania i Prawa, Warszawa 2007; D. Mąka, Metodyki analizy ryzyka zagrożeń informacyjnych, [w:] Ryzyko w zarządzaniu kryzysowym, P. Sienkiewicz, M. Marszałek, P. Górny (red.), Wydawnictwo Adam Marszałek, Toruń 2012; S. Olszewski, Ryzyko przy projektowaniu sieci telekomunikacyjnych, [w:] Zarzadzanie ryzykiem – wyzwania XXI wieku, B.R. Kub (red.), Wydawnictwo Wyższej Szkoły Zarządzania i Prawa, Warszawa 2007; J. Prońko, Zarządzanie ryzykiem w obszarze bezpieczeństwa powszechnego, Wyższa Szkoła Administracji, Bielsko-Biała 2010; P. Sienkiewicz, Zarządzanie ryzykiem w sytuacjach kryzysowych, Akademia Obrony Narodowej, Warszawa 2007; L. Więcaszek-Kuczyńska, Zagrożenia bezpieczeństwa informacyjnego, „Obronność. Zeszyty Naukowe Wydziału Zarządzania i Dowodzenia Akademii Obrony Narodowej” 2014, nr 2(10).