Organisaatio pyrkii ennakoivasti listaamaan ja arvioimaan erilaisten tietoturvariskien todennäköisyyttä ja vakavuutta. Dokumentaatio sisältää seuraavat asiat:

• Riskin kuvaus
• Riskin vakavuus ja todennäköisyys
• Riskiä hallitsevat ohjeet ja hallintatehtävät
• Riskin hyväksyttävyys

Organisaatio on määritellyt menettelyt tietoturvariskien arvioimiseksi ja käsittelemiseksi. Menettelyihin sisältyy ainakin:

• Riskien tunnistamismenetelmät
• Riskianalyysimenetelmät
• Riskien arviointiperusteet (vaikutus ja todennäköisyys).
• Riskien priorisointi, käsittelyvaihtoehdot ja valvontatehtävien määrittely.
• riskien hyväksymiskriteerit
• Prosessin toteuttamissykli, resursointi ja vastuut
• Tulokset olisi sisällytettävä organisaation riskinhallintaprosessiin.

Tehtävän omistaja tarkistaa säännöllisesti, että menettely on selkeä ja tuottaa johdonmukaisia tuloksia.

Organisaation on virallisesti hyväksyttävä, dokumentoitava ja pantava täytäntöön kattavat turvatoimenpiteet, jotka perustuvat jatkuvan seurantaprosessin havaintoihin. Organisaatiolla on oltava selkeä menettely vaatimusten muuntamiseksi ulkoisista standardeista ja hyvistä käytännöistä organisaation sisäisiksi turvapolitiikoiksi, menettelyiksi ja teknisiksi valvontatoimiksi.

Kaikki tietoturvatoimenpiteet on valittava ja toteutettava organisaation riskianalyysin tulosten perusteella. Jokaisen tunnistetun riskin ja sen lieventämiseksi valitun toimenpiteen (toimenpiteiden) välillä on oltava selkeä, dokumentoitu yhteys, jolla varmistetaan, että toimenpiteet ovat asianmukaisia ja oikeasuhteisia.Tämä prosessi olisi dokumentoitava soveltuvuusilmoitukseen (Statement of Applicability, SoA) tai vastaavaan riskienkäsittelysuunnitelmaan. Tässä asiakirjassa perustellaan tiettyjen valvontatoimien sisällyttäminen ja esitetään perustelut sellaisille valvontatoimille, joita ei katsota sovellettaviksi.