Niektóre luki w zabezpieczeniach mogą ujawnić poufne informacje, co może skutkować naruszeniem wymagań zgodności, złą prasą i oczywiście utratą zaufania klientów. Z drugiej strony, możliwe do wykorzystania luki, które prowadzą jedynie do utraty jadłospisu w kafeterii w przyszłym miesiącu, mogą nie zagrozić firmie aż tak dużej szkody. Konieczne jest określenie poziomów ryzyka dla różnych systemów, aby odpowiednio przydzielić zasoby. Stan bezpieczeństwa odnosi się do ogólnego stanu bezpieczeństwa organizacji w zakresie sprzętu, oprogramowania, sieci, danych i procesów. Obejmuje kontrolę bezpieczeństwa, zarządzanie bezpieczeństwem oraz możliwość reagowania i odtwarzania zagrożeń.