Na etapa de definição do contexto, a organização busca atingir seus objetivos; nela, são determinados os valores dos ativos da organização, identificadas as ameaças e vulnerabilidades existentes e determinadas as potenciais consequências dessas ameaças e vulnerabilidades.

A presença de uma vulnerabilidade é sempre uma ameaça à segurança da informação. A identificação das vulnerabilidades é realizada na etapa de análise/avaliação de riscos.

Na etapa de aceitação de risco, lida-se com modelos predefinidos de escalas de níveis, dentre os quais a organização deve optar pelo mais adequado aos seus negócios.

Na etapa de monitoramento de riscos, recomenda-se que as vulnerabilidades e os riscos sejam reavaliados periodicamente, entre um mês e um semestre.

A etapa de tratamento de risco conta com as seguintes opções, não excludentes entre si: redução, retenção, evitação e transferência de risco.