Analýza a ohodnotenie rizík transformuje pohľad na identifikované riziká prostredníctvom reálneho ekonomického ohodnotenia možných dôsledkov, ale aj vyčíslenie nákladov na realizáciu opatrenia, ktoré sú potrebné na eliminovanie rizika. V tejto fáze existuje množstvo prístupov, z ktorých by si organizácia mala vyberať vlastný, optimálny kompromis medzi zložitým výpočtom a jednoduchým odhadom. Organizácie, na ktoré sa vzťahuje zákon o kybernetickej bezpečnosti, majú metodiku analýzy rizík priamo definovanú. Realistickým odhadom pravdepodobnosti reálnosti hrozby možno zostaviť napríklad maticu miery rizika pre aktíva a odhadnúť úroveň rizika.

Na základe úrovne rizika sa potom organizácia rozhoduje, či je riziko prijateľné alebo vyžaduje aplikovanie opatrení. Ošetrenie rizík obsahuje aj vyhodnotenie nárokov na aplikovanie opatrení a ich porovnanie s mierou rizika a možnými dôsledkami na organizáciu pre realistickejšie hrozby. Organizácia si pre riziká volí vedome a objektívne prijateľnosť rizika, vyhne sa riziku aplikovaním opatrení alebo prenesie riziko na tretie strany.

Hlavné prvky analýzy rizík systému WebArat:

• Metodika analýzy rizík podľa požiadaviek zákazníka
• Akceptovateľná úroveň rizika
• Plán zvládania rizík
• Modifikovateľné úrovne kategórií a ich nápočtov
• Automatizovaná, poloautomatizovaná alebo manuálna analýza rizík