情報システムの事故によるリスクには、財産損害・賠償損害・費用損害・利益損害にまとめることができ、情報システムの事故がもたらす損害は巨額なものとなる恐れがある。

財産損害は、ハードウェアの復旧・ソフトウェアの修復・データの再作成にかかわる費用であり、賠償損害は、取引先の売上減少等への賠償金・個人情報の漏洩に伴う慰謝料・個人情報の漏洩に伴う謝罪広告費用等があげられる。

また、費用損害には、自社システムダウンに伴う営業継続費用（代替設備の賃借料、手作業補完の人件費等）や再発防止のためのセキュリティ改善費用があり、利益損害には、事故に伴う売上減少による利益損失や不正アクセスによる資金流出損害等があげられる。

最近の事例を見ると、２００１年に宇治市約２２万人分の住民基本台帳データが流出しネット上で販売された事件では、一人当たりの慰謝料１万円（弁護士費用５，０００円）の情報漏洩に関する初めての有罪判決が出たのは記憶に新しい。

また、２００４年の大手通信業者の会員情報約４５０万人の流出では、慰謝料として一人５００円のギフト券（総額約２２．５億円）を費やし、さらに大手通信販売事業者の顧客情報約４０万人分の流出では、営業自粛により数十億円の損害を出している事例もある。

これらの事例は、外部からの派遣要員の行為であり社員によるのもではなかったが、企業としての管理・監督責任や情報セキュリティに対するマネジメント態勢の不備を指摘されている。

この様に一度事故を起こしてしまうと、事例の様な直接的な損害だけではなく企業の社会的地位を脅かすことにもなりかねないため、企業として情報セキュリティ対策にかかわる総合的なリスクマネジメントの実施が必要である。

さらに国内においても情報セキュリティにかかわる法令も整備されおり、２００５年４月から「個人情報保護法」が全面施行され、違反行為に対する罰則や経営者の責任問題を問われる様になり、２００７年施行の日本版ＳＯＸ法 において「ＩＴ統制」が加えられたことは、企業価値向上に向けた取組みにおける情報システムにかかわるリスクアセスメントの重要性が増していることがうかがえる。