در گام پنجم شما تعیین نمودید که در چه وضعیتی به سر می‌برید و در گام ششم باید تعیین کنید که می‌خواهید کجا باشید.

این مبناها از معیار‌ها و استانداردها مشتق می‌شوند. هنگامی که استاندارد مورد استفاده‌ی سازمان را مشخص نمودید باید بازه‌ی انحراف قابل تحمل را نیز مشخص نمایید. هدف این گام تعیین سطح ریسک قابل قبول سازمان است که می‌تواند در کنار آن به حیات خود ادامه دهد. سازمان‌های مختلف براساس تهدیدات مختص خود، سطوح مختلف قابل قبول ریسک را تعریف می‌کنند. برای مثال، انگیزه‌های حمله به یک موسسه‌ی مالی بسیار قوی‌تر از انگیزه‌ی حمله به یک خرده‌فروش است و بنابراین برای موسسه باید یک سطح قابل قبول مناسبی برای ریسک تعریف و پشتیبانی شود.