A avaliar a necessidade de ações para assegurar que as não conformidades não ocorram.
B identificar os impactos que as perdas de confidencialidade, integridade e disponibilidade podem causar aos ativos.
C transferir os riscos associados ao negócio a outras partes, por exemplo, seguradoras e fornecedores.
D estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI.
E desenvolver critérios para a aceitação de riscos e identificar níveis aceitáveis de risco.