os critérios básicos, o escopo e os limites da avaliação de riscos e a organização do processo de gestão de riscos de segurança da informação que se está definindo.

a relação de riscos identificados e as ações para responder adequadamente a cada risco de segurança da informação.

a relação de riscos identificados, a probabilidade de cada risco ocorrer, o impacto de cada risco no negócio e as ações para mitigar estes riscos.

o plano de tratamento de riscos, o plano de continuidade de negócios e a política de segurança da informação.

o escopo da avaliação de riscos, a matriz de probabilidade e impacto de cada risco e o termo de ciência da alta direção em relação aos riscos.