Wir orientieren uns in der Vorgehensweise am IT-Grundschutz. Nachdem die für einen Geschäftsprozess benötigten Bausteine ermittelt wurden, werden die möglichen Gefährdungen ermittelt. Für jede Gefährdung wird geprüft, ob diese im konkreten Fall gegeben ist. Falls ja, wird die Eintrittswahrscheinlichkeit und die Schadensauswirkung klassifiziert. Aus diesen Parametern wird anhand einer Matrix die Risikohöhe bewertet. Optional kann auch die potentielle finanzielle Schadenshöhe bewertet werden.
Einer potentiellen Gefährdung können empfohlene Maßnahmen laut Katalog zugeordnet werden. Jede Maßnahme kann die Eintrittswahrscheinlichkeit und potentielle Schadenshöhe vermindern. Kosten für Maßnahmen können zugeordnet werden. Aus diesem Kontext kann jederzeit abgelesen werden, inwieweit sich das Risiko und potentielle Schadenshöhe durch bereits umgesetzte Maßnahmen vermindert hat bzw. durch geplante Maßnahmen weiterhin vermindern wird. Ebenso ist ablesbar, durch welchen Kostenaufwand sich die potentielle Schadenshöhe auf einen niedrigeren Wert vermindert.