Die meisten Organisationen wissen, dass die Durchführung einer Risikobewertung gängige Praxis ist. Allerdings führen nicht alle Organisation eine solche Risikoeinschätzung tatsächlich durch, und diejenigen, die es tun, wählen möglicherweise den falschen Ansatz. Allzu oft werden Risikobewertungen als einmaliges Projekt mit betrachtet, das endlich ist. Die Realität sieht jedoch ganz anders aus, dort sind Risikobewertung und Risikobehandlung ein fortlaufender Prozess.

Risikobewertungen, die von konkreten Unternehmenszielen ausgehen, sind nicht nur für die Geschäftsführung sehr hilfreich. Auch die Informationssicherheitsbeauftragten profitieren von unternehmensbasierten Risikobewertungen, denn so können für die knappen Ressourcen die richtigen Prioritäten gesetzt werden.