El documento presenta una lista de verificación para evaluar el proceso de gestión de riesgos de TI de una organización. La lista verifica si la organización tiene un marco de trabajo para evaluar sistemáticamente los riesgos de infraestructura tecnológica, identifica eventos de riesgo y evalúa la probabilidad e impacto de los riesgos. También verifica si la organización tiene un plan de acción para mitigar riesgos de forma segura y monitorea el plan de acción contra riesgos.