ระบบ IT อย่างมีนัยสำคัญ โดยมีกระบวนการครอบคลุมอย่างน้อย ดังนี้ (1) การระบุความเสี่ยง (risk identification) จัดให้มีการระบุเหตุการณ์ความเสี่ยง (risk scenario) ด้าน IT ที่อาจจะเกิดขึ้นหรือที่เคยเกิดขึ้น