Organisaatio pyrkii ennakoivasti listaamaan ja arvioimaan erilaisten tietoturvariskien todennäköisyyttä ja vakavuutta. Dokumentaatio sisältää seuraavat asiat:

• Riskin kuvaus
• Riskin vakavuus ja todennäköisyys
• Riskiä hallitsevat ohjeet ja hallintatehtävät
• Riskin hyväksyttävyys

Organisaatio on määritellyt menettelyt tietoturvariskien arvioimiseksi ja käsittelemiseksi. Menettelyihin sisältyy ainakin:

• Riskien tunnistamismenetelmät
• Riskianalyysimenetelmät
• Riskien arviointiperusteet (vaikutus ja todennäköisyys).
• Riskien priorisointi, käsittelyvaihtoehdot ja valvontatehtävien määrittely.
• riskien hyväksymiskriteerit
• Prosessin toteuttamissykli, resursointi ja vastuut
• Tulokset olisi sisällytettävä organisaation riskinhallintaprosessiin.

Tehtävän omistaja tarkistaa säännöllisesti, että menettely on selkeä ja tuottaa johdonmukaisia tuloksia.

Tietoturvariskejä koskeva dokumentaatio on tarkistettava säännöllisesti tai jos ympäristössä on tapahtunut muutoksia tai muita tapahtumia, kuten haavoittuvuuksien paljastuminen. Tarkistukseen on sisällyttävä seuraavat seikat:

• Varmistetaan, että tietoturvariskianalyysi ja riskien käsittelyä koskeva dokumentaatio on ajantasainen ja kattava.
• tarvittaessa tietoturvariskien uudelleenarviointi.

Riskinarviointi ja sen menetelmät dokumentoidaan ja päivitetään säännöllisesti. Dokumentaatio sisältää ainakin seuraavat tiedot:

• kuvaus tunnistetuista uhkista, haavoittuvuuksista ja riskeistä.
• riskien arviointi
• valitut menetelmät
• ehdotetut riskinhallintatoimet ja niiden toteuttaminen
• Riskinarvioinnin ja riskinhallintatoimien toteuttamisesta vastaavat henkilöt.

Organisaatiolla on oltava selkeä toimintamalli havaittujen teknisten haavoittuvuuksien priorisointiin. Toimintamallin ei pitäisi olla täysin omaa keksintöä, vaan tukeutua yleisesti hyväksyttyihin käytäntöihin.

Haavoittuvuudet tulisi priorisoida niiden aiheuttamien riskin, liittyvän omaisuuden tärkeyden, mahdollisen organisationaalisen vaikutuksen sekä kiireellisyyden (huomioiden CVSS-arvo) perusteella.

Organisaation on lueteltava kaikki asiaankuuluvat suojatut omaisuuserät omistusoikeuden määrittämiseksi ja sen varmistamiseksi, että turvatoimenpiteet kattavat kaikki tarvittavat kohteet.

Suuri osa suojatusta omaisuudesta (mukaan lukien tietojoukot, tietojärjestelmät, henkilöstö/yksiköt ja kumppanit) käsitellään muiden tehtävien kautta. Lisäksi organisaation on lueteltava muut tärkeät omaisuuserät, joita voivat olla toiminnan luonteesta riippuen esimerkiksi laitteisto (palvelimet, verkkolaitteet, työasemat, tulostimet) tai infrastruktuuri (kiinteistöt, sähköntuotanto, ilmastointi). Lisäksi organisaation on varmistettava, että asiaankuuluvat ulkoiset laitteet dokumentoidaan.