God risikovurdering er en forutsetning for risikostyring i et velfungerende informasjonssikkerhetssystem. Veilederen er beregnet på den som er ansvarlig for informasjonssikkerhetssystemet. Risikovurderingen skal gjennomføres som en del av planleggingsfasen ved etablering av et informasjonssikkerhetssystem og deretter ved behov. Dette er fordi en riksikovurdering er en situasjonsbetinget øvelse som gjennomføres når noe har forandret seg som vil påvirke virksomheten. Et svært viktig kriterie for å kunne gjennomføre en risikovurdering er en kartlegging av hvilke personopplysninger en virksomhet behandler.
Veileder for risikovurdering av informasjonssystem (pdf)