Esta fase tiene por objeto identificar y seleccionas las funciones de salvaguarda apropiadas para reducir el riesgo a un nivel aceptable.

El punto de partida para esta fase está constituido por la documentación referida a la descripción de los componentes del riesgo (activos, funciones y mecanismos de salvaguarda existentes, amenazas, vulnerabilidades e impactos), los niveles de riesgo calculados y los umbrales de riesgo aceptados por el comité de seguimiento.

Deberemos identificar las áreas de mayor riesgo del dominio mediante los resultados obtenidos del cálculo del riesgo intrínseco y efectivo.

El umbral de riesgo es un valor establecido como base para decidir por comparación con él si el riesgo efectivo calculado es asumible o aceptable. Los umbrales de riesgo utilizados pueden proceder de una estimación inicial, ratificada por la decisión del comité de seguimiento y propuesta por similitud respecto a otros casos.

Si el riesgo efectivo es mayor al umbral de riesgo, se considerará al primero no asumible, debiendo entonces desarrollar las tareas de identificación, estimación de efectividad y selección de las funciones de salvaguarda. Cuando el riesgo efectivo calculado se considere asumible, (por debajo del umbral de riesgo) quedará como riesgo residual.

Como resultado deberemos obtener un informe de interpretación del riesgo y estimadores estadísticos sobre frecuencias de ocurrencia de amenazas (vulnerabilidad), amenazas con mayor impacto, áreas más afectadas por mayores riesgos, etc.

Para representar el riesgo efectivo y el riesgo residual, utilizaremos diagramas de barras. 

Identificaremos las funciones de salvaguarda que puedan reducir el riesgo superior al umbral en todos los activos. Las funciones propuestas se determinan con ayuda de las agrupaciones de activos/amenazas donde se detecta mayor riesgo. Para cada función de salvaguarda, estimaremos su efectividad en la reducción del riesgo.

Como resultado deberemos obtener una lista de funciones que deberá contener el  tipo de amenaza, activo que protegen, su resultado (disminución de vulnerabilidad o bien impacto) y estimación de su efectividad.

Partiendo de la lista de funciones de salvaguarda propuestos, y teniendo en cuenta los umbrales de riesgo máximo asumible  o aceptable obtenidos en los apartados anteriores, ordenaremos la lista de funciones según su efectividad para reducir el riesgo, agrupándolas por activo/amenaza.

El comité de seguimiento debe aprobar el conjunto de funciones de salvaguarda propuestos.

Efectuaremos un recálculo del riesgo efectivo con los nuevos niveles de vulnerabilidad y de impacto reducidos con las nuevas funciones de salvaguarda seleccionadas.

Si los nuevos riesgos efectivos no cumplen los objetivos de su reducción por debajo de los umbrales de riesgo fijados, deberemos seleccionar nuevas funciones de salvaguarda hasta que el riesgo efectivo se sitúe por debajo del umbral de riesgo requerido.

El comité de seguimiento debe aprobar el conjunto de funciones de salvaguarda propuestos.