組織應識別風險，識別ISMS范圍內的重要資產及其責任人，識別重要資產所面臨的威脅，識別可能被威脅利用的脆弱性，識別現有安全控制措施，識別喪失保密性、完整性和可用性可能對資產造成的影響。

分析和評價風險，在考慮喪失資產的保密性、完整性和可用性所造成的后果的情況下，

評估安全失效可能造成的對組織的影響；根據主要的威脅和脆弱性、對資產的影響以及當前所實施的控制措施，評估安全失效發生的現實可能性；估計風險的級別；確定風險是否可接受，或者是否需要使用既定的可接受風險級別的準則進行處理。

組織應識別和評價風險處置的可選措施，可能的措施包括：采用適當的控制措施消除風險或減輕風險；在明顯滿足組織方針策略和可接受風險的準則的條件下，有意識地、客觀地接受風險；避免風險；將相關業務風險轉移到其他方，如：保險，供應商等。

組織應為處理風險選擇控制目標和控制措施。控制目標和控制措施應加以選擇和實施， 以滿足風險評估和風險處置過程中所識別的要求。這種選擇應考慮可接受風險的準則以及法律法規和合同要求。IS02700l附錄A中選擇控制目標和控制措施應成為此過程的一部分，該過程適合于滿足這些已識別的要求。附錄A所列的控制目標和控制措施并不是所有的控制目標和控制措施，組織也可以根據風險評估的結果和相關專家建議選擇額外的控制目標和控制措施。

組織應獲得管理者對建議的殘余風險的批準，獲得管理者對實施和運行ISMS的授權。

組織應準備適用性聲明（Statement of Applicahility，SoA），SoA應包含以下幾方面：

1）選擇的控制目標和控制措施，以及選擇的理由；2）當前實施的控制目標和控制措施；3）對IS0 27001附錄A中任何控制目標和控制措施的刪減，以及刪減的合理性說明。適用性聲明提供了一份關手風險處置決定的綜述。刪減的合理性說明提供交叉檢查，以證明不會因疏忽而遺漏控制措施。