Idealerweise entstehen Sicherheitsmaßnahmen (oder Security Controls oder kurz: Controls) innerhalb eines Risikoprozesses als eine Option der Risikobehandlung. Ein Risiko wurde ermittelt, bewertet, und im Prozess der Risikobehandlung wurde die Option der Risikominderung gewählt mittels eines Controls. Nach Umsetzung des Controls erfolgt eine erneute Risikobewertung, die zeigt, ob das verbleibende Restrisiko akzeptierbar ist. Wenn nicht folgt ein weiterer Prozess zur Risikobehandlung. Technische Controls werden im Daily Business oft ohne einen Risikoprozess ausgewählt, z.B. wenn es keine sinnvollen Alternativen gibt. Im besten Fall steht vor jedem Control aber immer ein Risikoprozess, denn der stellt die Angemessenheit sicher und stellt auch die Aufwände und Kosten des Controls dem Wert des zu schützenden Unternehmenswertes gegenüber, sodass vermieden werden kann, dass die Kosten und Aufwände des Controls den Wert des Unternehmenswertes ungewollt übersteigen.