Analýza a ohodnotenie rizík transformuje pohľad na identifikované riziká prostredníctvom reálneho ekonomického ohodnotenia možných dôsledkov, ale aj vyčíslenie nákladov na realizáciu opatrenia, ktoré sú potrebné na eliminovanie rizika. V tejto fáze existuje množstvo prístupov, z ktorých by si organizácia mala vyberať vlastný, optimálny kompromis medzi zložitým výpočtom a jednoduchým odhadom. Organizácie, na ktoré sa vzťahuje zákon o kybernetickej bezpečnosti majú metodiku analýzy rizík priamo definovanú. Realistickým odhadom pravdepodobnosti reálnosti hrozby možno zostaviť napríklad maticu miery rizika pre aktíva a odhadnúť úroveň rizika.
Na základe úrovne rizika sa potom organizácia rozhoduje, či je riziko prijateľné alebo vyžaduje aplikovanie opatrení. Ošetrenie rizík obsahuje aj vyhodnotenie nárokov na aplikovanie opatrení a ich porovnanie s mierou rizika a možnými dôsledkami na organizáciu pre realistickejšie hrozby. Organizácia si pre riziká volí vedome a objektívne prijateľnosť rizika, vyhne sa riziku aplikovaním opatrení alebo prenesie riziko na tretie strany.
Hlavné prvky analýzy rizík systému WebArat:
- Metodika analýzy rizík podľa požiadaviek zákazníka
- Akceptovateľná úroveň rizika
- Plán zvládanie rizík
- Modifikovateľné úrovne kategórií a ich nápočtov