El documento describe las vulnerabilidades, riesgos y opciones para tratar el riesgo en una organización. Las vulnerabilidades son debilidades de seguridad asociadas con los activos de información que no causan daño por sí mismas pero pueden ser explotadas por amenazas. Se identifican varias opciones para tratar el riesgo, incluyendo reducirlo, aceptarlo, transferirlo o evitarlo, con el objetivo de llevar el riesgo residual a un nivel aceptable.