Beim Enterprise Security Risk Management (ESRM) geht es um das Erkennen und Verhindern von Risiken und Bedrohungen in Unternehmen. Man arbeitet nach bewährten Vorgehensweisen, bekannt als Best Practice, und dokumentiert die Risiken und Threats um bei zukünftigen Ereignissen proaktiv auf Sicherheitsrisiken reagieren zu können.
Neben diversen unternehmensspezifischen Verfahren für die Risikominimierung, gibt es auch einige allgemein anerkannte Verfahren, die sich auf die Identifizierung und Quantifizierung der vorhandenen Geräteausstattung, der Infrastruktur und der Ressourcen beziehen, weil diese die häufigsten Angriffsziele bilden. Die Identifizierung und Quantifizierung der Sicherheitsrisiken, die Einschätzung des Bedrohungspotentials und die Risikobewertung ist ein weiterer wichtiger Aspekt des ESRM. Dabei sollten die Schwachstellen in der Infrastruktur und für jedes einzelne Gerät analysiert und die Schutzmechanismen überprü ft werden. Die Sicherheitsrichtlinien des Unternehmens sollten ebenfalls einer Überprüfung standhalten, und zwar unter dem Aspekt des Geräte- und Systemschutzes.