Organisaatio on määritellyt menettelyt tietoturvariskien arviointiin ja käsittelyyn. Määrittely sisältää ainakin:
- Riskien tunnistamistavat
- Tietoturvariskien analysoinnin menetelmät
- Tietoturvariskien arvioinnin kriteerit (seuraukset ja todennäköisyys)
- Riskien priorisointi ja käsittelyvaihtoehtojen sekä hallintakeinojen määrittely
- Riskien hyväksymiskriteerit
- Prosessin toteutussykli, resursointi ja vastuut
Tehtävän omistaja tarkistaa säännöllisesti, että riskikriteerit ovat selkeitä ja tuottavat johdonmukaisia arvioita.