A assegurar que as contínuas avaliações de riscos de segurança da informação produzam resultados únicos, não comparáveis, válidos e consistentes.
B estabelecer e manter critérios de aceitação do risco, de acordo com os padrões mundiais, independentemente do tipo da cultura da empresa.
C realizar o processo de avaliação do risco de segurança da informação para identificar os riscos associados à perda de confidencialidade, integridade e disponibilidade da informação.
D avaliar a probabilidade realística da ocorrência dos riscos não identificados.