A integração de novos controles de risco à infraestrutura existente e a interdependência entre controles existentes são fatores constantemente ignorados pelos gestores de segurança da informação.
O nível de detalhamento da identificação dos ativos de uma organização pode influenciar na quantidade de informações reunidas durante a avaliação de riscos.
A definição, pela organização, dos critérios para aceitação do risco depende de suas políticas, metas e objetivos. Uma vez definidos, esses critérios devem ser utilizados para todas as classes de risco.
No processo de identificação das ameaças, devem-se considerar o não atendimento à legislação, agentes de danos físicos ou tecnológicos, ações não autorizadas e aspectos culturais.