CRISAM® steht für „Corporate Risk Application Method“ und ist ein ganzheitlicher Ansatz zur Implementierung eines unternehmensweiten IT-Risikomanagement Prozesses. Der Anspruch aus dem mehrstufigen Implementierungsmodell ist nicht zu verwechseln mit dem einer Vorschrift oder Norm.

CRISAM® dient dazu, aus Strategie, Organisation und den (Geschäfts-) Prozessen nachvollziehbare Anforderungen an die Informationstechnologie abzuleiten. Den daraus ermittelten Sicherheitsvorgaben werden operationelle Risiken aus dem Betrieb der IT-Systeme gegenübergestellt. Abweichungen des IST vom SOLL werden als potentielle Bedrohungen aus dem IT-Einsatz identifiziert.
 
Der erforderliche Regelungsprozess, der Abweichungen vom vorgegebenen Sollwert identifiziert und durch geeignete Maßnahmen kompensiert, wird im Unternehmen als kontinuierlicher Risikomanagement Prozess implementiert.