Analýza a hodnocení rizik mění pohled na identifikovaná rizika prostřednictvím realistického ekonomického hodnocení možných důsledků, ale také vyčíslením nákladů na provedení opatření potřebných k eliminaci rizika. V této fázi existuje celá řada přístupů, z nichž by si organizace měla vybrat svůj vlastní, optimální kompromis mezi komplexním výpočtem a jednoduchým odhadem. Organizace, na které se vztahuje zákon o kybernetické bezpečnosti, mají přímo definovanou metodiku analýzy rizik. Například realistickým odhadem pravděpodobnosti, že hrozba bude reálná, lze sestavit matici míry rizika pro aktiva a odhadnout míru rizika.
Na základě míry rizika pak organizace rozhodne, zda je riziko přijatelné, nebo zda vyžaduje uplatnění opatření. Součástí ošetření rizik je také vyhodnocení požadavků na uplatnění opatření a jejich porovnání s úrovní rizika a možnými důsledky pro organizaci v případě realističtějších hrozeb. U rizik se organizace vědomě a objektivně rozhoduje o přijatelnosti rizika, vyhýbá se riziku uplatněním opatření nebo riziko přenáší na třetí strany.
Hlavní prvky systému analýzy rizik WebArat:
- Metodika analýzy rizik zaměřená na zákazníka
- Přijatelná úroveň rizika
- Plán řízení rizik
- Modifikovatelné úrovně kategorií a jejich výpočty
- Automatizovaná, poloautomatizovaná nebo manuální analýza rizik
