Zagrożenia dzielą się:

- na takie, którym można w pełni zapobiegać

- takie które można wyeliminować

- takie których nie można uniknąć, ale można przewidywać

- takie, tórych skutki można przewidywać i zapobiegać im

- takie, których nie można przewidzieć i nie można zapobiec ich skutkom.

Klasyfikacja zagrożeń porządkuje sposoby działania służące redukcji ryzyka. Wszystkie trzeba skoordynować w ramach systemu sterowania ryzykiem. Sterowanie to polega na strategicznym widzeniu zagrożeń; ich rozpoznawaniu, analizowaniu i planowaniu oraz wdrażaniu procedur mających zapewnić utrzymanie ryzyka na akceptowalnym poziomie. A.P. Sage wyróżnia cztery podejścia do sterowania ryzykiem:

1. pasywne - zaniechanie szukania zagrożeń i zakładanie, że nic nie może przeszkodzić w wykonaniu zamierzenia, a jeśli coś się zdarzy i tak nie można temu zaradzić

2. reaktywne - podejmowanie prób poprawienia sytuacji, usuwania negatywnych skutków już po zaistnieniu niepożądanego zdarzenia

3. interakcyjne - ryzyko jest przedmiotem badania i analizy podczas wszystkich cykli życia poszczególnych systemów

4. proaktywne - przewiduje się i planuje potencjalne problemy i zagrożenia, a następnie tworzy niezbędne procedury i działania mające na celu eliminowanie, unikanie, redukowanie i przeciwdziałanie zagrożeniom i ich skutkom.

RAM - metoda sterowania ryzykiem

A.P. Sage opracował również koncepcję analizy i sterowania ryzykiem zamierzeń RAM, która składa się z następujących modułów:

- REAP - procedura wstępnej oceny i analizy ryzyka, która ma zapewnić rozpoznanie głównych zagrożeń, uświadomienie związanego z nimi ryzyka, uczenie się użytkowników i analityków oraz modyfikację planu zamierzenia

- RIM - planowanie działań mających zapobiegać ryzyku na trzech poziomach: proaktywnym, interakcyjnym i reaktywnym, obejmujące szacowanie prawdopodobieństwa, określanie sposobów przeciwdziałania i projektowanie reguł podejmowania decyzji i procedur reagowania na ujawniające się zagrożenia

- RAP - wykrywanie, rozpoznawanie, diagnozowanie i redukowanie ryzyka zgodnie z planami sterowania ryzykiem na wymienionych poziomach.

Celem postępowania REAP jest zebranie charakterystyk (sporządzonych na podstawie ankiet) organizacji, otoczenia, twórców systemu informatycznego oraz projektu, pozwalających na dokonanie wstępnej oceny ryzyka. Na sesjach przeglądowych, w których uczestniczą kierownicy, użytkownicy i twórcy systemu, prowadzi się analizę zagrożeń. Sesje te służą przede wszystkim użytkownikom, którzy powinni zdać sobie sprawę z zagrożeń i ich skutków. Efektem jest większe zaangażowanie uczestników oraz zmodyfikowany plan zamierzenia uwzględniający rozpoznane czynniki ryzyka. Dzięki procedurze REAP można wyeliminować główne zagrożenia i zarazem przygotować podstawy do stworzenia systemu sterowania ryzykiem, który będzie konieczny w miarę rozwoju wykorzystania technologii informatycznej przez organizację.