Organisaatio on määritellyt menettelyt tietoturvariskien arviointiin ja käsittelyyn. Määrittely sisältää ainakin:
Tehtävän omistaja tarkistaa säännöllisesti, että riskikriteerit ovat selkeitä ja tuottavat johdonmukaisia arvioita.
Organisaatio pyrkii ennakoivasti listaamaan ja arvioimaan erilaisten tietoturvariskien todennäköisyyttä ja vakavuutta. Dokumentaatio sisältää seuraavat asiat:
Tietoturvariskien hallintaa toteuttaessaan organisaation on tunnistettava käsittelyä vaativat riskit ja määriteltävä näille käsittelysuunnitelmat, jotka usein koostuvat uusista tietoturvallisuustoimenpiteistä.
Organisaatio on määritellyt, kuinka säännöllisesti arvioidaan kokonaisuutena määriteltyjä käsittelysuunnitelmia ja niiden oikeasuhtaisuutta riskeille täytettyihin arvioihin (riskin vakavuus ja todennäköisyys) verrattuna.