Ledelsen må fastsette hvilke grenser for risiko virksomheten aksepterer og hva som er uakseptabel risiko. Dette må kommuniseres på tvers i organisasjonen.
Det er vanlig å fastsette risikogrenser basert på konsekvens for virksomheten ved tap av konfidensialitet, integritet og tilgjengelighet for informasjon og informasjonssystemer. Se: 4.1.1, 4.1.2 og [[1.1 - Kartlegg styringsstrukturer, leveranser og understøttende systemer#Utdypende informasjon[|Utdypende informasjon]] .