具体的には以下の4つの選択肢があります。
| 選択肢 | 内容 | |
| 適切な管理策の適用 | 費用対効果などを考慮して行い、セキュリティ障害が実際に起こる可能性を減らす、もしくは資産の正確性、完全性、可用性の喪失により予想される結果を減らすことなどに繋がる選択です。 | |
| リスク受容 | 残存リスクはあるが、基準以下なので維持管理を実施します。 | |
| リスク回避 | 当該情報資産を保有しない、電子商取引の仕組みを使わない、機密を要するファイルはイントラネットに入れない、など脅威の元を断ちます。 | |
| リスク移転 | 組織としては対応に限界があるため、評価した資産価値に見合った値の保険をかけるなど、別途の対策を考えることです。 | |
一般論で言えば、リスク値の高いものから、優先順位をつけて経営資源を投入し対応するのが、オーソドックスなアプローチです。ここで行った(行わなかった)対策はその根拠を示して「適用宣言書」に記載される必要があります。