Im Rahmen des Risikomanagements wird die organisatorische, personelle, infrastrukturelle und technische Sicherheit analysiert. Auf diesem Wege werden die gefährdeten Bereiche innerhalb eines Unternehmens identifiziert und schützenswerte Bereiche definiert. Dies kann sowohl auf ein ganzes Unternehmen angewendet werden, aber auch auf einzelne, spezifische Teilbereiche des Unternehmens. Mit diesen Maßnahmen soll ein angemessener Schutz für alle Daten und Systeme erreicht werden.
Beim Risikomanagement werden innerhalb eines definierten Umfanges verschiedene Assets definiert und deren Bedrohungslage analysiert. Somit werden Risiken identifiziert, die auf diese Assets einwirken. Im letzten Schritt wird der Umgang mit den identifizierten Risiken bewertet und entsprechende Maßnahmen gesetzt, um diese zu minimieren.