ภัยคุกคาม คือสิ่งที่เกิดขึ้นแล้วอาจส่งผลกระทบต่อความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ซึ่งผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูลต้องรู้และเข้าใจ ว่ามีภัยคุกคามใดบ้างที่อาจเกิดขึ้นกับการประมวลผลข้อมูลส่วนบุคคล ซึ่งตนเป็นผู้ดำเนินการและรับผิดชอบ ไม่ว่าจะเป็นทั้งภายในและภายนอกองค์กรและประเมินโอกาสที่จะเกิดภัยคุกคามนั้น ซึ่งภัยคุกคามแต่ละชนิดจะมีผลกระทบต่อ
ความถูกต้องครบถ้วน (Integrity) การรักษาความลับ (Confidentiality) และความพร้อมใช้งาน (Availability) ของข้อมูลส่วนบุคคล
การประเมินโอกาสที่จะเกิดภัยคุกคามเป็นการประเมินเชิงคุณภาพ และขึ้นอยู่กับสภาพแวดล้อมและองค์ประกอบของการประมวลผลข้อมูลส่วนบุคคลนั้น ๆ ซึ่งโดยทั่วไปจะมีการแบ่งออกเป็น 3 ระดับดังนี้
ระดับต่ำ หมายถึง มีโอกาสน้อยมากที่จะเกิดภัยคุกคาม
ระดับปานกลาง หมายถึง มีโอกาสที่จะเกิดภัยคุกคาม
ระดับสูง หมายถึง มีความเป็นไปได้สูงที่จะเกิดภัยคุกคาม
สำหรับธุรกิจขนาดกลางและขนาดเล็กนั้น (SME) ควรจะมีการประเมินภัยคุกคาม 4 ส่วนซึ่งเป็นองค์ประกอบและคุณลักษณะสำคัญของธุรกิจดังนี้
1.ระบบเครือข่าย ฮาร์ดแวร์และซอฟต์แวร์
2.กระบวนการหรือขั้นตอนที่เกี่ยวข้องกับข้อมูลส่วนบุคคล
3.บุคคลที่เกี่ยวข้องในการประมวลผลข้อมูลส่วนบุคคล
4.ประเภทของธุรกิจและขนาดของการประมวลผลข้อมูลส่วนบุคคล