Organisaatio on määritellyt menettelyt tietoturvariskien arviointiin ja käsittelyyn. Määrittely sisältää ainakin:
Tehtävän omistaja tarkistaa säännöllisesti, että riskikriteerit ovat selkeitä ja tuottavat johdonmukaisia arvioita.
Organisaatio pyrkii ennakoivasti listaamaan ja arvioimaan erilaisten tietoturvariskien todennäköisyyttä ja vakavuutta. Dokumentaatio sisältää seuraavat asiat:
Organisaatio sopii ja toteuttaa yhteisen tietoturvariskien hallintamenettelyn ja prosessit sidosryhmien kanssa.
Organisaation tulisi pyrkiä integroimaan kolmannen osapuolen riskien hallinta osaksi oman organisaation yleistä tietoturvariskienhallintaa. Siinä tulisi:
Organisaation täytyy määrittää hyväksyttävä taso riskeille. Taso lasketaan riskien todennäköisyyden, vakavuuden ja hallintakeinojen pohjalta.
Organisaation riskinäkymistä raportoidaan organisaation johdolle säännöllisesti ja vähintään kerran vuodessa.
Organisaation on luokiteltava sen tieto-omaisuus, kuten tietojärjestelmät, tiedot, yksiköt, avainhenkilöstö ja muu suojattava omaisuus (esim. laitteet) prioriteettien mukaan. Priorisoinnin voi tehdä esimerkiksi käsiteltävän tiedon luottamuksellisuus-, eheys- ja saatavuusvaatimusten perusteella.