Infatti, senza una costante valutazione del valore del patrimonio informativo, dell’intensità delle minacce attuali e potenziali, delle vulnerabilità del sistema e dei potenziali impatti tangibili e intangibili sull’attività e sul posizionamento di un'organizzazione, risulta impossibile definire un sistema di sicurezza veramente equilibrato e bilanciato rispetto ai rischi ed ai danni/perdite che potrebbero verificarsi. I confini del rischio non hanno potenzialmente barriere e le minacce diventano tutte possibili e, in qualche misura, sempre più probabili. Allo scopo, CSI propone una metodologia riassumibile nei passi riportati nello schema seguente: