Organisaatio on määritellyt menettelyt tietoturvariskien arvioimiseksi ja käsittelemiseksi. Menettelyihin sisältyy ainakin:

• Riskien tunnistamismenetelmät
• Riskianalyysimenetelmät
• Riskien arviointiperusteet (vaikutus ja todennäköisyys).
• Riskien priorisointi, käsittelyvaihtoehdot ja valvontatehtävien määrittely.
• riskien hyväksymiskriteerit
• Prosessin toteuttamissykli, resursointi ja vastuut
• Tulokset olisi sisällytettävä organisaation riskinhallintaprosessiin.

Tehtävän omistaja tarkistaa säännöllisesti, että menettely on selkeä ja tuottaa johdonmukaisia tuloksia.

Riskinarviointi ja sen menetelmät dokumentoidaan ja päivitetään säännöllisesti. Dokumentaatio sisältää ainakin seuraavat tiedot:

• kuvaus tunnistetuista uhkista, haavoittuvuuksista ja riskeistä.
• riskien arviointi
• valitut menetelmät
• ehdotetut riskinhallintatoimet ja niiden toteuttaminen
• Riskinarvioinnin ja riskinhallintatoimien toteuttamisesta vastaavat henkilöt.

The organization must integrate a security risk assessment into its procurement process. The risk assessment shall include:

• Preliminary evaluation to determine whether if the procurement poses a negligible or non-negligible risk
• Risk assessment of the procurement
• Final informed and documented decision, which may include approving the acquisition as is, approving it with specific mitigating security controls, selecting an alternative product, or rejecting the acquisition

Valitse oikea menetelmä riskinarviointia varten. Riskien tunnistamiseen ja arviointiin on olemassa useita erilaisia menetelmiä. On tärkeää, että organisaatio valitsee menetelmän, jonka avulla riskien arviointi on hallittavissa ja jonka avulla voidaan tunnistaa merkittävimmät riskit, keskustella niistä ja hallita niitä. Esimerkkejä erilaisista menetelmistä/viitekehyksistä ovat ISO/IEC 27005, NIST SP 800-30 ja Octave Allegro.

Organisaatio sopii ja toteuttaa yhteisen tietoturvariskien hallintamenettelyn ja prosessit sidosryhmien kanssa.

Organisaation tulisi pyrkiä integroimaan kolmannen osapuolen riskien hallinta osaksi oman organisaation yleistä tietoturvariskienhallintaa. Siinä tulisi:

• Arvioida keskenäisiä riippuvuuksia
• Arvioida riskejä liittyen kolmannen osapuolen tarjoamiin sopimuksiin
• Huolehtia riskienhallinnan skaalasta organisaation koon ja tarpeen perusteella

Organisaation on tunnistettava sen toiminnan jatkuvuuden kannalta kriittiset toiminnot (esim. asiakkaalle tarjottavat palvelut).

Kriittisiin toimintoihin liittyviä riskejä tulisi tunnistaa, arvioida sekä käsitellä korostetusti sekä säännöllisesti yhteistyössä palveluntoimittajien kanssa.