O objetivo da Norma Internacional ISO/IEC 12207 é estabelecer uma estrutura comum para os processos de ciclo de vida de software, com uma terminologia bem definida, que pode ser referenciada pela indústria de software.

A fim de dar suporte ao processo decisório, convém que a comunicação do risco seja realizada.

Uma das opções para o tratamento do risco é realizar a sua retenção. Entretanto, sua escolha não deve ser feita com base na avaliação de riscos, mas sim com base na identificação dos riscos.

O processo de avaliação de riscos é composto por quatro atividades: identificação dos riscos; análise dos riscos; avaliação dos riscos; e eliminação dos riscos.

Quanto aos critérios para a aceitação dos riscos, é importante que a organização defina sua própria escala de níveis de aceitação do risco e que itens, como, por exemplo, operações, tecnologia, finanças, entre outros, serão considerados.

O processo de gestão de riscos é contínuo, mas não pode interagir com a avaliação de riscos e com a atividade de tratamento do risco.

De acordo com a Norma NBR ISO/IEC n.º 27002:2013, a criptografia não deve ser usada como mecanismo de proteção da informação, já que essa Norma a considera como um método desatualizado e ineficaz.

Segundo a Norma NBR ISO/IEC n.º 27002:2013, o controle de acesso tem como único objetivo impedir o acesso não autorizado a sistemas e aplicações.

Conforme a Norma NBR ISO/IEC n.º 27001:2013, a organização deverá manter a informação documentada relativa ao processo de tratamento dos riscos de segurança da informação.

Segundo a Norma NBR ISO/IEC n.º 27001:2013, antes de uma empresa iniciar um processo de gestão de riscos, ela deverá determinar as partes interessadas que são relevantes para o Sistema de Gestão da Segurança da Informação e os requisitos dessas partes interessadas que são relevantes para a segurança da informação.