zinwentaryzowania celów, działań, aktywów dla danego obszaru działalności, oraz okreslenia ich krytycznosci dla organizacji, identyfikacji zagrożeń, podatności, oceny funkcjonujących zabezpieczeń, określenia strategii ryzyka - apetytu na ryzyko, analizy ryzyka i określenia działań niezbędnych dla minimalizacji skutków, bądź obniżenia prawdopodobieństwa, monitorowania ryzyka, audytu wewnętrznego, audytu dostawców oraz raportowania.