Das Restrisiko ist das Risiko, das nach der Umsetzung aller geplanten Kontrollen und Maßnahmen übrig bleibt. Kein Sicherheitsprogramm kann Risiken vollständig eliminieren. Entscheidend ist, dass das Restrisiko unter dem definierten Risikoakzeptanzwert liegt und von der Geschäftsführung formal akzeptiert wird. Im ISMS dokumentierst Du für jedes Risikoszenario sowohl das Brutto-Risiko (vor Maßnahmen) als auch das Netto-Risiko (nach Maßnahmen). Die Differenz zeigt die Wirksamkeit Deiner Kontrollen. Regelmäßige Reviews stellen sicher, dass veränderte Rahmenbedingungen das Restrisiko nicht unbemerkt erhöhen.