Dreigingen, kwetsbaarheden, waarschijnlijkheden en gevolgen worden gebruikt om het risico te bepalen.
Maatregel
De organisatie moet risicobeoordelingen uitvoeren en documenteren waarin het risico wordt bepaald door dreigingen, kwetsbaarheden, de impact op bedrijfsprocessen en bedrijfsmiddelen en de waarschijnlijkheid dat deze zich voordoen.
Richtlijn
Risicobeoordeling moet dreigingen van insiders en externe partijen omvatten.
Kwalitatieve en/of kwantitatieve risicoanalysemethodes (MAPGOOD, ISO27005, CIS RAM, ...) kunnen samen met softwaretooling worden gebruikt.