Uma organização, ao estabelecer seus requisitos de segurança da informação, deve avaliar riscos, a partir da vulnerabilidade e da probabilidade de ocorrência de eventos de ameaça, sempre obtidas por meio de dados históricos de incidentes e problemas registrados nos bancos de dados da central de serviços.