Po zakończonym procesie określania obszaru analizy ryzyka, zgodnie z wymaganiem normy, należy wyznaczyć kryteria akceptowalności ryzyka. W wymienionych kwestiach norma PN-ISO/IEC 27001:2007 nie narzuca konkretnych metod postępowania. Wymaga jednak udokumentowania tego procesu oraz jego powtarzalności.

Skończony etap określenia kryteriów akceptowalności ryzyka, oszacowanego w danym obszarze analizy, warunkuje przejście do przeprowadzenia właściwej już dla danego obszaru analizy ryzyka, opierającej się na zasadach oraz metodach opisanych uprzednio w procedurze.

Istnieje bardzo wiele technik analizy ryzyka. Wybór odpowiedniej nie jest w żaden sposób narzucony wymaganiami normy. Przy wyborze należy kierować się charakterem działalności organizacji oraz zidentyfikować aktywa organizacji, zagrożenia dla tych aktywów, jak również wskazać podatność na poszczególne zagrożenia.

Zidentyfikowane ryzyko dla każdego z wyodrębnionych aktywów warunkuje określenie trybu postępowania przy określonym ryzyku. Oszacowane ryzyko możemy przede wszystkim ograniczyć stosując odpowiednie metody zabezpieczeń. Jeżeli ryzyko jest niewielkie, istnieje możliwość akceptacji jego poziomu. Ważnym aspektem jest również takie postępowanie, które prowadzi do uniknięcia ryzyka. Istnieje także możliwość przeniesienia ryzyka. Przeniesienie to może nastąpić na przykład przez ulokowanie go w firmie ubezpieczeniowej, która pokryje ewentualne straty związane z utratą informacji.

Pomimo podjętych działań związanych z uzyskaniem ryzyka na jak najniższym poziomie należy mieć świadomość, iż nie ma zabezpieczeń, które zupełnie go wyeliminują. Po zastosowaniu zabezpieczeń, w toku kolejnej analizy ryzyka, otrzymujemy tzw. ryzyko szczątkowe. Takie ryzyko organizacja może zaakceptować, jeżeli jest na odpowiednio niskim poziomie, bądź nie zaakceptować i szukać kolejnych metod zabezpieczeń dla uzyskania ryzyka na poziomie akceptowalnym.

Nadrzędnym celem wdrożenia i eksploatacji systemu zarządzania bezpieczeństwem informacji jest zapewnienie ciągłości efektywnego funkcjonowania organizacji. Pamiętać o tym podstawowym zagadnieniu należy szczególnie przy wyborze metody postępowania z określonym ryzykiem. Powinno się również wziąć pod uwagę, jakie skutki wystąpienie danego zagrożenia będzie miało na zachowanie ciągłości działania organizacji.