Organisaatio pyrkii ennakoivasti listaamaan ja arvioimaan erilaisten tietoturvariskien todennäköisyyttä ja vakavuutta. Dokumentaatio sisältää seuraavat asiat:

• Riskin kuvaus
• Riskin vakavuus ja todennäköisyys
• Riskiä hallitsevat ohjeet ja hallintatehtävät
• Riskin hyväksyttävyys

Organisaatio on määritellyt menettelyt tietoturvariskien arvioimiseksi ja käsittelemiseksi. Menettelyihin sisältyy ainakin:

• Riskien tunnistamismenetelmät
• Riskianalyysimenetelmät
• Riskien arviointiperusteet (vaikutus ja todennäköisyys).
• Riskien priorisointi, käsittelyvaihtoehdot ja valvontatehtävien määrittely.
• riskien hyväksymiskriteerit
• Prosessin toteuttamissykli, resursointi ja vastuut
• Tulokset olisi sisällytettävä organisaation riskinhallintaprosessiin.

Tehtävän omistaja tarkistaa säännöllisesti, että menettely on selkeä ja tuottaa johdonmukaisia tuloksia.

The organization must formally adopt, document, and implement a comprehensive set of security measures based on the findings from its continuous monitoring process. There must be a clear procedure for translating the requirements from external standards and good practices into the organization's internal security policies, procedures, and technical controls.

All cybersecurity measures must be selected and implemented based on the results of the organization's risk analysis. There must be a clear, documented link between each identified risk and the corresponding measure(s) chosen to mitigate it, ensuring the measures are appropriate and proportionate. This process should be documented in a Statement of Applicability (SoA) or a similar risk treatment plan. This document justifies the inclusion of specific controls and provides a rationale for any controls that are deemed not applicable.