一．  识别泄密风险 
      *   识别全部的商业秘密； 

    *   商业秘密分级；
      *   识别可能的威胁； 
      *   识别存在的薄弱点。

二．  泄密风险分析 
      *  分析威胁利用薄弱点造成泄密的可能性； 
      *   分析一旦发生泄密事件后的影响。

三．  泄密风险评价 
      *   评价泄密风险的大小。

四．  泄密风险判断 
      *   判断泄密风险是否在可允许范围之内。
 
五．  确定处置泄密风险的方式
      对识别出来的泄密风险，要确定处置风险的方式，如果风险低且在允许的范围之内，可以接受风险，维持原有控制，如果风险超过允许的接受准则，就要对风险进行处置。
      风险的处置方式主要是： 
        1、  避免风险 
        2、  降低风险
      要根据已识别的具体风险、处置方式的实施成本、实施收益等因素选择具体的处置方式。
      泄密风险处置方式对应的三要素控制活动如下： 
       

    泄密风险处置方式对应的三要素控制活动
 
六．  选择并实施具体的控制措施
      针对确定的泄密风险处置方式，还要选择具体的控制措施。通过实施这些控制措施，落实处置方式，实现对泄密风险的控制。       
      可供选择的控制方式涵盖管理和技术两个方面，例如： 
        *      组织架构和职责 
        *        法律法规 
        *        人员管理 
        *        教育和培训 
        *        资源提供 
        *        商业秘密资产管理 
        *        物理防护 
        *        过程和程序 

      *        网络安全 
        *        数据安全 
        *        监控 
 
七．  评估泄密风险的控制效果
      实施泄密风险控制措施之后，要对泄密风险的控制效果进行评估，从而判断商业秘密的泄密风险是否降低到可接受的水平，如果泄密风险已经降低到允许的范围，证明实施的控制是充分有效的，今后维持这些控制措施的持续有效即可。如果采取控制措施后泄密风险仍偏高，则需要重新对泄密风险进行处置和控制。
 
八．  定期重复实施泄密风险的控制流程
商业秘密的泄密风险是动态变化的，商业秘密的数量和状态的变化、威胁的变化、薄弱点的变化，都会对泄密风险造成影响，因此，需要定期对商业秘密的泄密风险进行评估和处置。