Уровень риска должен быть снижен посредством выбора средства контроля так, чтобы остаточный риск мог быть повторно оценён как допустимый.
В целом, средства контроля могут обеспечивать один или несколько из следующих видов защиты:
исправление, исключение, предупреждение, уменьшение влияния, сдерживание, обнаружение, восстановление, мониторинг и информированность.
Во время выбора средств контроля важно "взвешивать" стоимость приобретения, реализации, администрирования, функционирования, мониторинга и поддержки средств контроля по отношению к ценности защищаемых активов.