リスク対応の評価は、投資対効果で測られます。実際にはリスク対応に関わらず、あらゆる企業内のプロジェクトの実行も投資対効果によって決定されるでしょう。つまり、どこまでのコストをかければ、どれほどまでの利益が見込めるのかということです。IT業界にいると、常に最新の技術がわんさか出てくる上に、多くのサービス提供者が「世の中がこれで変わります」などというので、最新の技術を導入した方がいいだろうとか、すべての機能に対応したパーフェクトシステムを開発したいと、ついつい考えてしまうかもしれません。しかし、そもそも企業活動はお金がないと維持できません。極端な機能を導入することが企業の目標を達成するとは限りません。使うお金とそれに見合った報酬を得ようとしますし、大きな組織であるほど、このような合理的な理由に即する傾向があります。
また、リスクコントロールの評価を行う時には、セキュリティとプライバシーの2つの側面から見ることもできます。セキュリティとプライバシーの概念は一般にかなり似ているのでややこしいですが、CISSPでは度々これらの意味合いを別に取り扱います。セキュリティとは、機密性・完全性・可用性を保護することを目的とします。プライバシーとは、個人の権利を尊重し、不適切なデータ使用や情報漏洩を防ぐことを目的とします。どれだけ安全にデータを守っていたとしても、それが事前に同意していた範囲を超えて利用していた場合には、セキュリティは守られているかもしれませんが、個人の権利を侵害し、プライバシーが守られていないということになります。これにより、両者の管理評価の定義や対策も異なってきます。セキュリティ管理評価は、リスクアセスメント、脆弱性スキャン、ペネトレーションテストなどの手法を使用して行います。プライバシー管理評価は、個人情報を取り扱うシステムやプロジェクトにおいて、ユーザーからCookieの取り扱いや登録する個人情報の同意内容に沿った運営の実施といった、プライバシーリスクを評価するプロセスになります。利害関係者と協議し、プライバシーに関連するリスクを明確にしなければなりません。プライバシー管理評価は、利用範囲を逸脱しないように、システムの企画・設計段階から、プライバシー保護を目的とした設計をするプライバシー・バイ・デザインの手法を使用して行います。