A Na etapa de definição do contexto, a organização busca atingir seus objetivos; nela, são determinados os valores dos ativos da organização, identificadas as ameaças e vulnerabilidades existentes e determinadas as potenciais consequências dessas ameaças e vulnerabilidades.
B A presença de uma vulnerabilidade é sempre uma ameaça à segurança da informação. A identificação das vulnerabilidades é realizada na etapa de análise/avaliação de riscos.
C Na etapa de aceitação de risco, lida-se com modelos predefinidos de escalas de níveis, dentre os quais a organização deve optar pelo mais adequado aos seus negócios.
D Na etapa de monitoramento de riscos, recomenda-se que as vulnerabilidades e os riscos sejam reavaliados periodicamente, entre um mês e um semestre.
E A etapa de tratamento de risco conta com as seguintes opções, não excludentes entre si: redução, retenção, evitação e transferência de risco.