Organisaatio pyrkii ennakoivasti listaamaan ja arvioimaan erilaisten tietoturvariskien todennäköisyyttä ja vakavuutta. Dokumentaatio sisältää seuraavat asiat:

• Riskin kuvaus
• Riskin vakavuus ja todennäköisyys
• Riskiä hallitsevat ohjeet ja hallintatehtävät
• Riskin hyväksyttävyys

Organisaatio on määritellyt menettelyt tietoturvariskien arvioimiseksi ja käsittelemiseksi. Menettelyihin sisältyy ainakin:

• Riskien tunnistamismenetelmät
• Riskianalyysimenetelmät
• Riskien arviointiperusteet (vaikutus ja todennäköisyys).
• Riskien priorisointi, käsittelyvaihtoehdot ja valvontatehtävien määrittely.
• riskien hyväksymiskriteerit
• Prosessin toteuttamissykli, resursointi ja vastuut
• Tulokset olisi sisällytettävä organisaation riskinhallintaprosessiin.

Tehtävän omistaja tarkistaa säännöllisesti, että menettely on selkeä ja tuottaa johdonmukaisia tuloksia.

Organisaation on määriteltävä tieto- ja viestintätekniikan (TVT) riskinsietokyvyn taso tunnistamalla keskeiset TVT-riskiluokat (esim. kyberturvallisuusuhat, järjestelmän käyttökatkokset, tietojen menetys) ja määrittelemällä riskitaso, jonka rahoitusyksikkö on valmis hyväksymään yleisen riskinottohalukkuutensa mukaisesti.

Organisaation on analysoitava TVT-häiriöiden vaikutusten sietokyky määrittämällä kriittisten TVT-palvelujen suurin hyväksyttävä käyttökatkos ja tietojen menetys, ottaen huomioon mahdolliset vaikutukset liiketoimintaan, asiakkaisiin ja sääntelyyn. Määritelty riskinsietokyky ja vaikutuskynnykset on dokumentoitava johdon tarkastelua ja hyväksyntää varten.

Organisaation on virallisesti hyväksyttävä, dokumentoitava ja pantava täytäntöön kattavat turvatoimenpiteet, jotka perustuvat jatkuvan seurantaprosessin havaintoihin. Organisaatiolla on oltava selkeä menettely vaatimusten muuntamiseksi ulkoisista standardeista ja hyvistä käytännöistä organisaation sisäisiksi turvapolitiikoiksi, menettelyiksi ja teknisiksi valvontatoimiksi.

Organisaatio on ottanut käyttöön riskiperusteisen korjausstrategian, jossa toimet asetetaan tärkeysjärjestykseen vaikutusten perusteella, dokumentoidaan johdonmukaisuuden varmistamiseksi, tarkastellaan kuukausittain niiden tehokkuutta, kohdennetaan resurssit tehokkaasti riskinarviointien perusteella ja otetaan sidosryhmät mukaan kattavan tuen saamiseksi.