Proces začíná katalogem aktiv a hrozeb a stanovením kritérií přijatelnosti. Hodnocení rizik kombinuje dopad, pravděpodobnost a detekovatelnost. Opatření se volí přiměřeně – technická, procesní i smluvní. Ve veřejné správě se bere v potaz dopad na práva občanů a kontinuitu služeb. Rizika se sledují v čase s vlastníky a termíny nápravy. Reporty mají být srozumitelné vedení a propojené na rozpočty. Testování a cvičení ověřují účinnost opatření. Ignorovaná rizika se vrací jako incidenty a zpoždění.
