assegurar que as contínuas avaliações de risco de segurança da informação produzam resultados compatíveis, válidos e consistentes;

determinar todos os controles que são necessários para implementar as opções escolhidas do tratamento do risco da segurança da informação;

obter a aprovação da alta direção em relação aos riscos do plano de tratamento dos riscos de segurança da informação e a aceitação dos riscos residuais de segurança da informação;

selecionar, de forma apropriada, as opções de tratamento de riscos de segurança da informação, levando em consideração os resultados do sistema de gestão de segurança da informação;

avaliar as consequências potenciais que podem resultar se os riscos identificados forem materializados.