Naast de risicoanalysemethode moeten ook de criteria voor de geïdentificeerde risico’s vastgelegd worden. Met andere woorden welke risico’s is de organisatie bereid te lopen, en welke impact van een bedreiging op vertrouwelijkheid, integriteit en beschikbaarheid van informatie kan de organisatie dragen. Deze zijn belangrijk om te komen tot de juiste strategie. Immers, impact die de organisatie niet wenst te dragen, zal voorkomen moeten worden.
Dit zijn de criteria voor risico’s waarmee rekening moet worden gehouden:
De aard van de organisatie,
De grootte van de organisatie,
Het soort informatie dat verwerkt wordt,
De bedrijfscultuur,
De risicoappetijt van het management,
Aard van het risico zelf,
De te nemen controlemaatregelen.