Zunächst ist die Methodik, wie eine Risikoanalyse durchgeführt werden soll, zu bestimmen. Hier gibt es vereinfachende Methodiken, wie etwa die Vorgehensweise nach Grundschutz-Standard 200-3 oder VdS 10000. Hierbei wird für bestimmte Systeme eine Basis-Absicherung angesetzt – d.h. eine detaillierte Risikoanalyse wird nicht durchgeführt. Dies wird häufig als qualitativer Ansatz bezeichnet.

Ein anderes Vorgehen sieht für alle zu betrachtenden Assets eine vollständige Analyse bezüglich möglicher Bedrohungen, vorhandener Schwachstellen und einer denkbaren Eintrittshäufigkeit vor. Im Resultat werden dann erwartete Schadenshöhen ermittelt. Dies wird als quantitativer Ansatz betrachtet.