Процесс менеджмента риска ИБ состоит из установления контекста (раздел 7), оценки риска (раздел 8), обработки риска (раздел 9), принятия риска (раздел 10), коммуникаций риска (раздел 11), а также мониторинга и переоценки риска информационной безопасности (раздел 12).
Как показано на рисунке 1, в процессе менеджмента риска ИБ процедуры оценки риска и/или обработки риска могут выполняться итеративно. Итеративный подход к проведению оценки риска может увеличить глубину и детализацию оценки при каждой последующей итерации. Итеративный подход позволяет сбалансированно затрачивать время и усилия на выбор мер и средств контроля и управления, в то же время по-прежнему обеспечивая соответствующую оценку высокоуровневых рисков.