El documento describe una estructura para la respuesta al riesgo de TI que incluye tres áreas: 1) articular los riesgos de TI mediante análisis, reportes e interpretación de resultados; 2) manejar los riesgos de TI a través de controles, supervisión y respuesta; 3) reaccionar a eventos mediante planes de respuesta, supervisión y comunicación de lecciones aprendidas.