1. 範囲を決める
2. 方針を出す
3. リスクアセスのやり方を決める
4. 資産を洗う
5. 脅威、脆弱性を洗う。脆弱性は既存の管理策の状態と不足する状況を明確にする。
6. リスク値を出す。
7. 評価する(受容できないものを洗う)
8. 必要な管理策を洗う。新たに実装する管理策概要とそれに相当する詳細管理項目の明確化。
9. ここまでは個別の資産に対してどのような管理策を当てるかの対応付けを明確にする。
10. 適用宣言書。単なるサマリー表。
市販のツールをどのように使うかの検討は、脆弱性の状況、リスク対応の優先順位の状況を踏まえ、コスト、納期、技術など総合的に行う。「ITビジョン」「ITアーキテクチャー」などを明確にしていない場合は都度の検討・処理に近い対応を余儀なくされ、非効率な情報システムあるいは管理体系になる懸念がある。