1
Určení a ohodnocení aktiv – Cílem první fáze je identifikovat aktiva společnosti, která budou zahrnuta do analýzy rizik. U těchto aktiv musí být stanovena jejich hodnota a určen vlastník.
2
Určení a ohodnocení hrozeb – Cílem druhé fáze je identifikovat a ohodnotit hrozby, které mohou působit na výše určená aktiva společnosti.
Prvním krokem je upřesnění katalogu hrozeb, které budou pro každé aktivum vyhodnocovány. Katalog hrozeb upřesňuje Manažer bezpečnosti.
3
Určení míry rizika – Míra rizika je metrika, podle které lze jednoznačně určit výběr opatření implementovaných pro ochranu aktiva.
Určení míry rizika je závislé na hodnotě aktiva, četnosti hrozby a dopadu hrozby.
4
Výběr opatření – Představitel vedení pro bezpečnost musí učinit rozhodnutí, od jaké úrovně budou rizika pokrývána opatřeními. Rizika pod touto úrovní jsou dále považována za zbytková a pouze evidována.
Rizika nad touto úrovní jsou systematicky pokrývána vybranými opatřeními.