Plan Study of the organization

1. Context Establishment   purpose, business, missions, values, strategies, structure
 Establish context  Asset classification
 Assess risk  Primary assets: business process & activities, information
 Develop RTP  Supporting assets: hardware, software, network, personnel, site, structure
 Accept risk Constraints
 Organization ‐> political, cultural, personnel, strategical, territorial, economical, financial, structural, functional, timing, 
2.1 Risk Identification methodical etc.
 Scope ‐> pre‐existing processes, technical, financial, environmental constraints, time, methodical, organizational etc.
 Risk modification ‐> time, financial, technical, operational, cultural, ethical, environmental, legal , ease of use, personnel, existing 
Maintain & improve  ISMS  controls etc.
Act Implement RTP  Do
ISRM process PDCA  References 
Cycle 2.2 Risk Analysis  http://www.iso27001security.com/html/27005.html
 ISO/IEC 27005:2011, Information technology ‐‐ Security techniques ‐‐ Information security risk management

6. Risk Communication & Consultation
 
  No

5. Risk Monitoring & Review
Monitor & review risk 2.3 Risk Evaluation

Scope & 
1.2 Define scope  1.1 Setup basic 
Check boundaries
& boundaries criteria
Assessment 
satisfactory

Allocated 
Yes a. Define  RM approach
resources 
Output  BCP: Business Continuity Plan  approach
Process
 C.I.A: Confidentiality, Integrity & Availability
 IEC: International Electrotechnical Commission 3 Risk Treatment
 InfoSec: Information Security
 IRP: Incident Response Plan
Risk evaluation  b. Define  d. Define  Risk acceptance 
 ISMS: Information Security Management System
criteria evaluation  acceptance  criteria
 ISO: International Organization for  Assessment 
Comment criteria criteria
Standardization  satisfactory
 ISRM: Information Security Risk Management
 PDCA: Plan‐Do‐Check‐Act
 RM: Risk Management Yes  c. Define 
 RPM: Risk Management Plan RM organization  1.3 Setup 
impact 
Impact criteria
Decision Sub‐  RTP: Risk Treatment Plan organization
criteria
process 4 Risk Acceptance

5.1. Monitor & review 
3.1 Treat risk
risk

Risks Assets Threats

a. Evaluate risk

1. Context 
Establishment
4.1. Accept risk
a. Modify risk b. Retain risk b. Identify 
a. Identify assets
threats
No
Analysis method a. Select 
methodologies
Accepted & 
Treatment 
rejected risks Yes
satisfactory

c. Avoid risk d. Share risk c. Identify  d. Identify  Vulnerabilities

Consequences b. Assess  controls vulnerabilities
consequences

 Risk treatment plan
 Residual risks  Likelihood of 
6.1. Communicate &  c. Assess 
incident 
consult risk incident  Controls e. Identify 
scenarios
likelihood consequences

Yes
Risk levels d. Determine 
level of risk Incident 
1. Context  Assessment  scenarios
No
Establishment satisfactory

Copyright © 2016
ISO27k Forum
www.ISO27001security.com 
 1. Context Establishment  Considerations
Objectives
 Risk management scope and objectives
 Available budget, expertise & timing RM approach  High‐level, detailed or both
 Support an ISMS
 Degree of dependency/investment on information asset  Required number of iterations
 Comply to regulations
 Information systems criticality
 Prepare a BCP, an IRP
 Alignment with change management or business continuity
 Describe InfoSec requirements, etc. 
2.1 Risk Identification
Allocated 
Time, personnel, tools,  a. Define  1.1 Setup basic 
resources 
training, budget etc. approach criteria

2.2 Risk Analysis

Risk evaluation  b. Define  d. Define  Risk acceptance 

6. Risk Communication & Consultation

 
  No
criteria evaluation  acceptance  criteria

5. Risk Monitoring & Review
criteria criteria
2.3 Risk Evaluation
 c. Define 
Considerations Impact criteria
impact   Target levels 
 Information process value
criteria  Thresholds multiplicity
 Assets criticality
 Estimated ratios 
Assessment   Legal requirements
Considerations  Risk classes
satisfactory  Importance of C.I.A
Losses, damages,   Business criteria  Future treatments etc.  
 Stakeholders expectations Considerations
 Risk treatment priorities  Asset classification disruptions, breaches   Legal and regulatory aspects
Yes  Security breaches (e.g. loss of C.I.A) etc.   Operations
 Impaired operations  Technology
 Loss of business value  Finance
3 Risk Treatment  Disruption of plans, deadlines  Social and humanitarian factors 
 Reputation damage
 Legal breaches    
Objectives
Considerations  Development of ISRM process
Assessment  Scope & 
1.2 Define scope   Study of the organization  Identification of stakeholders
satisfactory RM organization  1.3 Setup 
boundaries
& boundaries  Objectives, strategies & policies  Setting roles & responsibilities
organization
 Functions, processes & structure  Setting interfaces with related parties
Yes  Environment, Interfaces & culture   Definition of decision escalation paths
 Locations & geography, assets  Specification of records 
 Constraints ‐ organizational, 
4 Risk Acceptance technical, structural etc.
 Regulations, exclusions (if any) etc. 

Objectives
 Identification of risks
 Quantitative or qualitative description of risks 
 Risks treatment prioritization Objectives
 Comparison of estimated risk levels against evaluation 
Considerations and acceptance criteria
Copyright © 2016
 Risk evaluation criteria  ISO27k Forum
 Objectives relevant to the organization www.ISO27001security.com 
Considerations
 Selected risk assessment approach Risks  Reviewing of evaluation criteria based on established 
a. Evaluate risk
context, objectives and decisions
 Irrelevance of risks impacting irrelevant criterion
 Lower consideration of risks impacting non important 
activities
 Prioritizing treatment based on estimated levels of risks
List of assessed risks prioritized according to 
 Consideration of regulations in risk evaluation 
evaluation criteria in relation to incident scenarios
Objectives
 Finding, recognizing and describing risks  
Objectives  Determination of possible events behind 
Objectives  Identification of threats and their source potential loses and related circumstances
 Identification of assets & their owners
Considerations Considerations
Considerations  Threat collection from asset owners and users  Identification of under controlled or 
 Risk assessment scope & boundaries  Consultation of external bodies & threat catalogues unclear risk sources or  causes
 Classification of primary & supporting assets  Reviewing past incidents and threat assessments   Objectives
 Asset responsibility and accountability  Consideration of environmental and cultural aspects  Establishment of analysis methodologies  
 Suitable level of details should be provided  Classification of threats (e.g. generic, by class and type)  Understanding risk nature and level
 Details refined in further assessment iterations  Assessment of consequences & incident likelihood 

Qualitative, quantitative 
approach of both
Objectives
 Understanding risk analysis methodologies
Assets Threats b. Identify  Objectives
a. Identify assets
threats  Identification of vulnerabilities that can be exploited  Considerations
by threats   Agreement of analysis detail levels based on prior incidents, 
Analysis method a. Select  assets and vulnerabilities criticality
Considerations methodologies  Selection of appropriate approaches based on circumstances  
 Identification of vulnerabilities in areas such as   Consistence with risk evaluation criteria
 List of assets to be risk‐managed
processes, personnel, software, hardware etc.
 List of related business processes  List of threats with their type and source.  Recognition & monitoring of vulnerabilities that has 
with their importance
no corresponding threat to exploit them
 Identification of vulnerabilities related to incorrect  Objectives
 List of existing & planned controls setting‐up, usage or failing of controls  Asset valuation
 Controls implementation and usage status   Identification of intrinsic and extrinsic vulnerabilities Consequences b. Assess   Assessment of security incidents and their business impact
consequences
Considerations
 Classification of assets based on their criticality and importance
Controls c. Identify  d. Identify  Vulnerabilities  Determination of asset cost replacement and business outcome of 
controls vulnerabilities asset loss or comprise
List of assessed   Diverse representations of consequences (financial, technical, 
consequences of an  human or timing)
incident scenario
List of incident scenarios with their 
consequences related to assets and   List of vulnerabilities related to  Objectives
Likelihood of 
Objectives business processes assets, threats & controls
incident 
c. Assess   Assessment of the likelihood of incident scenarios 
 List of unrelated vulnerabilities  incident 
 Identification of existing and planned controls scenarios
likelihood Considerations
 Measurement of control effectiveness
 Removal or replacement of ineffective,  Incident   Experience and applicable statistics for threat likelihood
insufficient or unjustified controls   scenarios
e. Identify   Motivation and capabilities for deliberate threat sources
consequences  Geographical factors for accidental threat sources
Considerations
List of risks with   Individual and sets of vulnerabilities
 Reviewing control related documentation (e.g. 
assigned value levels  Existing controls and their effectiveness in reducing vulnerabilities 
risk treatment implementation plans)
 Checking control status with managers & users   Objectives Objectives
 Conducting on‐site reviews of physical controls   Identification of consequences on assets caused by loss of C.I.A  Determination of risk level for all relevant incident scenarios
 Reviewing audit reports & management reviews   Risk levels d. Determine 
Considerations level of risk
Considerations
 Identification of damages, consequences and impact caused by   Risk values Assignment of likelihood and consequences
incident scenarios  Consideration of valuables such as cost benefits and stakeholder 
 Consequences may be of a temporary or permanent nature concerns
 Identification of operational consequences such as worktime 
lost, repair skill cost, safety & image reputation etc. 

1. Context  Assessment 
No
Establishment satisfactory

Yes

Objectives Objectives
 Avoiding activities that increase risk  Information exchange about risk between risk owners and stakeholders
 Taking risk to pursue opportunities  Assurance of the outcome of risk management
 Eliminating risk source(s)  Collection & sharing of knowledge & improve awareness 6.1 Communicate & 
 Changing likelihood of consequences  Sharing risk assessment results & treatment plan consult risk
 Sharing risk with other parties  Coordination and response planning to avoid or reduce incident consequences
Objectives  Retaining residual risks  Providing support for decision‐making 
 Selection of controls to reduce, retain,   Giving sense of responsibility about risks
avoid, or share the risks 3.1 Treat risk Considerations
 Establishment of a treatment plan  Risk acceptance criteria
1. Context 
 Risk evaluation   
Establishment

Objectives No
 Managing risk level by introducing, 
Considerations Objectives
removing or altering controls
 Risk satisfy organization’ policies  Accepting risks and responsibilities by risk owners
a. Modify risk b. Retain risk
Considerations  Level of risk meets acceptance criteria Treatment 
Yes Accepted & rejected risks Considerations
 Regulations & requirements satisfactory 4.1 Accept risk
 Reviewing & approval of treatment plan
 Implementation cost & time frame
 Reviewing & approval of residual risks 
 Skills & competences   
 Recording treatment decisions 
 Constraints ‐ Environmental, financial,  Objectives  Justifications for overriding acceptance criteria (if any)
time, technical, cultural,  etc.   Transfer risk for a most effective control

Objectives Considerations No
 Pulling out or changing high risk activities  Emergence of new risks
 Modification of existing or identified risks 
Considerations  Only management duties are shared
 Activities generates high risk  Liability is unlikely to be shared  
 Cost of treatment exceed benefits

Objectives
 Monitoring and reviewing of risk factors
c. Avoid risk d. Share risk  Maintaining overall overview of risk picture

Considerations
 Including new identified assets in the scope 5.1 Monitor & 
 Necessary modification of asset values due to requirements review risk
 Risk treatment plan 1. Context   Assessment of new external and internal active threats
 Residual risks  Establishment  Observing new or changed vulnerabilities that could be to exploited by threats
 Reexamining of vulnerabilities becoming exposed to new or re‐emerging threats