風險評估活動可用于確定信息系統(tǒng)安全需求。

在本階段標識的風險可以用來為信息系統(tǒng)的安全分析提供支持，這可能會影響到系統(tǒng)在開發(fā)過程中要對體系結(jié)構(gòu)和設計方案進行權(quán)衡。

信息系統(tǒng)的安全特性應該被配置、激活、測試并得到驗證。

風險評估可支持對系統(tǒng)實現(xiàn)效果的評價，考察其是否能滿足要求，并考察系統(tǒng)所運行的環(huán)境是否是預期設計的。有關風險的一系列決策必須在系統(tǒng)運行之前做出。

當定期對系統(tǒng)進行重新評估時，或者信息系統(tǒng)在其運行性生產(chǎn)環(huán)境（例如新的系統(tǒng)接口）中做出重大變更時，要對其進行風險評估活動。

當要廢棄或替換系統(tǒng)組件時，要對其進行風險評估，以確保硬件和軟件得到了適當?shù)膹U棄處置，且殘留信息也恰當?shù)剡M行了處理。并且要確保系統(tǒng)的更新?lián)Q代能以一個安全和系統(tǒng)化的方式完成。