Riskihalduse metoodika tähendab iga riski jaoks mingi valiku tegemist. Valik võib olla üks järgnevatest:

• Riskist hoidumine sellega seotud funktsiooni kasutusest eemaldamisega või nõrga lüli süsteemist kõrvaldamisega
• Riski vähendamine aktsepteeritud tasemele sisaldab sobivate vastumeetmete kasutamist, mis võivad toimida erinevat teed pidi:
  • Kanda risk üle kolmandale osapoolele (näiteks kindlustuse kasutamine)
  • Piirata ohu esinemise võimalust
  • Piirata ohu mõju
  • Tuvastada tõrke või ohu esinemissagedus
• Aktsepteerida riski - klient võib otsustada lubada riski kui selle vastumeetmed osutuvad liialt kulukaks

Ohtude hindamise meetodid sõltuvad kasutuselvõetud metoodikast. Näiteks CRAMM (CCTA Risk Analysis and Management Method) metoodika järgi on ohutasemete väärtused järgmised:

• Väga madal - üks juhtum iga 10 aasta jooksul
• Madal - üks juhtum iga 3 aasta jooksul
• Keskmine - üks juhtum aastas
• Kõrge - üks juhtum 4 kuu jooksul
• Väga kõrge - üks juhtum kuus

Haavatavuse hindamine CRAMM järgi:

• Madal -juhtumi esinemisel on halvima stsenaariumi tõenäosus alla 33%
• Keskmine - juhtumi esinemisel on halvima stsenaariumi tõenäosus vahemikus 33-66%
• Kõrge - halvim stsenaarium juhtub üle 66% tõenäosusega

Ohtude hindamine on seotud riskianalüüsiga, mille käigus ohtude tasemed arvutatakse. Ohud, mida riskianalüüsis arvestada võivad olla näiteks järgmised:

• Loodusõnnetused
• Seadmete või dokumentide vargused
• Elektrikatkestused
• Kliimaseadmete rike
• Riistvara rike
• Riistvara või tarkvara hooldusega seotud inimlik eksimus
• Vandalism

Riskide mõõtmise aluseks on süsteemile tekitatud potentsiaalne kahju ohusündmuse esinemisel.

Rusikareegel riski hindamisel arvestab ohu poolt tekitatavat kahju ja ohu esinemise tõenäosust:

R = D × P, kus R on risk, D on potentsiaalne kahju ja P on ohu esinemise tõenäosus

Üldine riskihindamise definitsioon infoturbe alal on riski tõenäosus esitatud funktsioonina süsteemi haavatavusest ja ohu tasemest järgmiselt:

P = f (V, T) , kus V on haavatavus, T on oht, P on tõenäosus

Juhuslike riskide puhul on riski esinemise tõenäosus funktsioon süsteemi haavatavusest ja tõrkejuhtumi eripärasest tõenäosusest (näiteks üleujutuse või elektrikatkestuse esinemise tõenäosus)

P = f (V, p), kus V onhaavatavus, p oneripärane tõenäosus

Ohusündmuste tõsidus on tavaliselt väljendatav ka rahalises kahjus. Riski tase, mis võtab arvesse riski seose vastava varakohta on väljendatav:

L=f(V,T,A), kus L on riskitase, V haavatavus, T oht ja A vara väärtus

Kui riski tase on hinnatud on vaja defineerida vastumeetmed ohtudele. Iga vastumeede on spetsiifiline kaitsvale objektile ja sellega seotud ohtudele. Defineeritud vastumeetmed peavad katma kõiki tuvastatud riske. Kui vastumeetmed on tarvitusele võetud tuleb hinnata allesjäänud riskivõimalust. Selle järgi saab teha järeldusi, kas vastumeetmed on piisavad.
Üldine riskianalüüsi ja riskihalduse põhimõte on esitatav lihtsa diagrammiga, kus riskianalüüs ja riskihaldus on kaks erinevat aga seotud tegevust.

Joonis 7‑1. Riskianalüüsi ja riskihalduse seosed (Allikas: Learning Materials for Information Technology Professionals (EUCIP-Mat))

Sellel diagrammil on esitatud riskianalüüsi ja riskihalduse põhielemendid ja nendevahelised seosed.
Avariijärgne taasteplaan (Disaster Recovery Plan) on dokument, mis on sageli kaasatudIT teenuse talitluspidevusplaani (Service Continuity Plan). See defineerib protsessid, poliitikad ja protseduurid normaalolukorra taastamiseks piiratud ajaraamides, kriitilised operatsioonid, äritegevuse jätkamiseks peale kahjujuhtumi esinemist. Katkestuse lubatud vältus peab olema valitud vastavalt äri nõuetele.
See plaan pakub välja tehnoloogilised ja organisatoorsed lahendused, mis võimaldavad kriitilistel tegevustel edasi toimida avariiolukorras, kuni tavalise tööolukorra taastumiseni. Plaani tegemise oluline alus on välja valida ja defineerida need protsessid ja teenused, mis peavad olema kaitstud avariijärgses taasteplaanis pakutavate lahendustega.