De generieke dreigingencatalogus faciliteert het proces van risicobeoordeling en de keuze van passende beheersmaatregelen.
Voor alle beoordelingen gelden de volgende regels en schalen:
Impact wordt vastgesteld op een schaal 1 tot en met 5 (klein, gemiddeld, groot, significant, kritiek).
Waarschijnlijkheid wordt vastgesteld op een schaal van 1 tot en met 5 (zeer laag, laag, gemiddeld, hoog, voorzienbaar).
Het Risico Prioriteit Nummer (RPN = Impact x Waarschijnlijkheid) wordt vastgesteld tussen 1 en 25.
Risico wordt vastgelegd op een schaal van 1 tot en met 4 (laag = 1..3, gemiddeld 4..9, hoog 10..19, kritiek 20..25).
Alle risico's met een risicoscore van 3 en 4 MOETEN gemitigeerd worden door één of meerdere beheersmaatregelen, tenzij anders wordt besloten door een bevoegd persoon of orgaan middels formele risicoacceptatie.
Elke beheersmaatregel MOET aan een eigenaar toegewezen worden.
Maturiteit van beheersmaatregelen MOET worden weergegeven op een schaal van 1 tot en met 5 (opmerking: soms wordt het begrip effectiviteit gebruikt in plaats van maturiteit - zie termen en definities).
De risicobeoordeling MOET gedocumenteerd en beheerd worden als integraal onderdeel van het beheer van de informatieasset.
De risicobeoordeling MOET herhaalbaar zijn door een consistent proces met bovenstaande schalen te volgen zodat resultaten vergeleken kunnen worden.
Uitkomst van risicobeoordelingen MOET worden gedeeld met het centrale Team Informatieveiligheid voor overzicht en aggregatie.
Een eigenaar van het risico MOET worden vastgesteld. Doorgaans is dat de (gedelegeerde) eigenaar van de informatieasset.
