ในการจัดการ IT Risk อย่างเหมาะสมและสอดคล้องกับผลการประเมินความเสี่ยง (risk assessment) เพื่อให้ความเสี่ยงที่เหลืออยู่ (residual risk) อยู่ในระดับความเสี่ยงที่ยอมรับได้ (risk appetite) โดยครอบคลุมการ
อยู่ (residual risk) อยู่ในระดับความเสี่ยงที่ยอมรับได้ (risk appetite) โดยครอบคลุมการดำเนินการอย่างน้อย ดังนี้ (1) การกำหนดแนวทางในการจัดการความเสี่ยง โดยพิจารณาถึงความคุ้มค่าและวิธีการที่เหมาะสมกับผู้