Ausgangspunkt für jedes Risiko-Management ist eine solide Kenntnis der Wertschöpfungsprozesse und der dazugehörigen Unternehmenswerte (subject under consideration). Erst wenn diese benannt und strukturiert sind, lassen sich Schutzziele ableiten, welche die Gruppen-Vertraulichkeit, Integrität und Verfügbarkeit (CIA; confidentiality, integrity, availaility) abdecken. Zur Bewertung eines Risikos gehört ebenso die Auswahl von geeigneten Skalen für die definierten Schutzziele.

Relevante Skalen können beispielsweise Schweregrad der Beeinträchtigung (severity) und Exponiertheit (exposure) von Anlagen, Systemen oder Prozessen sein. Wenn dann mögliche Einflüsse auf das Betrachtungsobjekt definiert sind, können konkrete Angriffsvektoren (attack vectors) beleuchtet und z.B. aus Sicht der Cybersecurity und den ausgewählten Skalen bewertet werden. Schlussendlich werden Strategien und Maßnahmen zur Eindämmung und Entschärfung (mitigation) der Angriffsvektoren erarbeitet und bilden somit die Grundlage für zielgerichtete operative Handlungen.