Az eljárás négy szakaszból áll, amelyeket a következô ábrán szemléltetünk:
Az elsô szakaszban a szervezet szempontjából kiválasztják és behatárolják a további vizsgálódások tárgyát. Ehhez meg kell állapítani, hogy mely informatika-alkalmazások érdemesek a védelemre értékük alapján.
A második szakaszban feltárják mindazon fenyegetô tényezôket, amelyek az elsô szakaszban kiválasztott informatika-alkalmazásokra veszélyesek lehetnek. Ennek során vizsgálni kell az informatikai rendszer úgynevezett gyenge pontjait.
A harmadik szakaszban azt értékelik, milyen káros hatása lehet a fenyegetô tényezôknek az informatikai rendszerre, azaz mely kockázatok állnak fenn.
A negyedik szakaszban fenyegetô tényezôk elleni intézkedéseket választanak ki és hatásaikat értékelik. Ennek során el kell dönteni, mely intézkedések vehetôk figyelembe és milyen maradványkockázatok viselhetôk el.
Minden egyes szakasz lezárásakor a felelôs vezetôt, (projektirányítót) tájékoztatni kell annak eredményeirôl. Az eredményeket a további munkákba be kell építeni. Különösen fontos, hogy az informatikai biztonsági koncepciót a negyedik szakasz lezárása után elfogadják, mielôtt a megvalósítását elkezdenék.
A négy szakaszt 12 lépés tagolja. A következô ábra az egész eljárást mutatja be a szakaszok és lépések összetartozásának feltüntetésével.:
Egyes lépéseket szükség szerint meg kell ismételni, amint ez az ábrán is látható. Ezeket a visszacsatolásokat az egyes lépésekhez tartozó kifejtésekben leírjuk.
Az elsô lépésben feltérképezzük az informatika-alkalmazásokat és a feldolgozandó adatokat.
A második lépésben meghatározzuk a feltárt alkalmazások és adatok védelmének céljait. Ehhez az öt alapfenyegetettség szempontjából értékeljük azokat. Az értékelés lehetôvé teszi a kockázatot jól elviselô alkalmazások kiválasztását.
A harmadik lépésben valamennyi rendszerelemet feltérképezzük, amelyek a kiválasztott informatika-alkalmazás érdekében bevetésre kerülnek.
A negyedik lépésben meghatározzuk, mely alapfenyegetô tényezôknek van jelentôségük a fenti rendszerelemek szempontjából.
Az ötödik lépésben minden egyes fenyegetô tényezôt meghatározunk, amelyek az informatika-alkalmazást veszélyeztethetik.
A hatodik lépésben a fenyegetett rendszerelemekhez un. kárértéket rendelünk, amely az informatika-alkalmazás értékébôl vezethetô le.
A hetedik lépésben megbecsüljük azt a gyakoriságot, amellyel valamely kár bekövetkezése valószínûsíthetô.
A nyolcadik lépésben a kárból és a gyakoriságból levezetjük a kockázatot.
A kilencedik lépésben olyan intézkedéseket választunk ki, amelyek célja a kockázatok elviselhetô mértékûre csökkentése.
A tizedik lépésben megvizsgáljuk, hogyan hatnak ezek az intézkedések egymásra, a kockázatokra, a költségekre és a szervezet mûködésére.
A tizenegyedik lépésben az intézkedések költségei, illetve haszna közötti viszonyt vizsgáljuk.
A tizenkettedik lépésben megvizsgáljuk, hogy a fennmaradó kockázat elviselhetô-e. Ennek során a meglévô kockázatot vetjük össze a várható kockázattal.
A következô ábra az egyes lépések kapcsolatait és az általuk reprezentált tevékenységek alkalmazók, illetve informatikai szakemberek közötti megoszlását mutatja be.
Az egyes lépések leírása tömörségre törekszik. A rövid ismertetés után a lépések lebonyolításához szükséges háttérismeretek és a lebonyolítás feladatai következnek. Az adott lépést segítô listák, illetve nyomtatványok felsorolása zárja a leírást.