Os resultados da análise/avaliação de riscos ajudam a direcionar e determinar as ações gerenciais apropriadas e as prioridades para o gerenciamento e para a implementação dos controles selecionados para a proteção contra esses riscos.
De acordo com a ISO/IEC 27002,o escopo de uma análise/avaliação de riscos deve ser, obrigatoriamente, toda a organização, pois essa é a única forma de garantir a segurança de forma integral.
o processo de avaliar os riscos de segurança da informação e selecionar os controles deve ser realizado apenas uma vez, preferencialmente antes da implantação de qualquer sistema, de forma antecipada, para que se possam evitar situações inesperadas.
as análises/avaliações de riscos são muito peculiares e específicas, por isso não podem ser realizadas de forma metódica nem são capazes de gerar resultados que podem ser comparados ou reproduzidos.
convém que a análise/avaliação de riscos de segurança da informação tenha um escopo claramente definido para ser eficaz e que inclua relacionamentos com as análises/avaliações de riscos em outras áreas, se necessário.
convém que as análises/avaliações de riscos identifiquem, quantifiquem e priorizem os riscos com base em critérios para a aceitação dos riscos e dos objetivos relevantes não apenas para a organização e sim para toda a comunidade de atuação e seu mercado.