2. 衝擊準則：
   為了充分了解所識別風險，組織應清楚地了解每個風險事件中明顯的後果，這對於衡量這些風險事件、為風險評估其後果和可能性提供資訊至關重要，此過程還將有助於決定已識別風險的優先次序，並指導資源分配以減輕其影響。組織應針對每個已識別的風險考慮以下因素：
   • 風險最終可能產生的結果是什麼？
   • 風險發生的時間和頻率如何？
   • 可能影響的風險在哪裡？
   • 誰可能會受到風險事件發生的影響？
   • 誰是風險事件的利害相關者？對他們有什麼影響？
   • 什麼催化劑可能導致風險事件？
   • 如何減輕風險的可能性？
   • 如何減輕風險事件的後果？
   • 該風險評估所依據的資訊有多可靠？
   組織為衝擊程度定義相關準則所應參考的相關面向如後：資訊資產的分類程度、破壞與違害資訊安全、營運上的受損、企業財務價值的損失、對計畫和最後期限的破壞、聲譽的危害、對法律法規或合約要求的違背。
   

3. 風險接受準則：
   組織參考第四章的全景分析後產出分析結果，分析結果通常帶有風險期望目標級別的多項等級，提交給高層管理者接受的風險應該與其等級相對應，對不同類型的風險可以採用不同的風險接受準則，例如估算收益（或業務收益）與估算風險的比值。風險接受準則可以包括未來補償措施要求並考量營運、業務準則、法律法規、技術、財務、社會等人為因素後，來決定整體風險可以接受的程度。
   

(二) 確認範疇界線
規劃風險管理之前依樣要先行確認風險管理的界線，避免因範圍太大造成無效的分析，也要避免侷限的範圍影響整體資訊安全，這個範圍是以風險的角度出發，所有在ISMS範圍內的風險都要被分析及管理，要考慮的事項如下：
• 企業的目標與組織策略、佈局與政策
• 業務過程
• 組織的職能和結構
• 適用於組織的法律法規和合約義務的要求
• 組織的資訊安全方針
• 組織風險管理的整體方法
• 資訊資產
• 組織的位置及其地理特性
• 影響組織運作的因素
• 利害關係者的期望
• 社會文化環境
• 資訊交換環境的介面
組織應該判斷及檢討範圍內的任何排除項目，並對排除理由提出說明，比較好的範例是：IT的應用、IT的基礎設施、業務流程或者某個部門。