Результаты первоначальной оценки рисков и анализа со стороны руководства должны регулярно проверяться на предмет изменений. Существует несколько факторов, которые могут изменить первоначальную оценку рисков. Любые новые функции бизнеса могут означать появление новых или изменение существующих информационных активов, а также любые другие изменения, документируемые и рассматриваемые в процессе оценки и управления рисками. Другие изменения в ситуации с рисками могут быть обнаружены в результате анализа организации, ее бизнес-целей и/или процессов, анализа корректности и эффективность реализованных механизмов безопасности, а также внешних изменений (например, окружающей среды, социальных или политических). Также могут быть идентифицированы новые или изменившиеся угрозы и/или уязвимости.
После того как все эти факторы были учтены, величина риска должна быть переоценена, а также должны быть идентифицированы и документированы изменения, которые необходимо внести в решения по обработке риска. Эти изменения должны быть согласованы с руководством и реализованы.
Результаты переоценки рисков и новые решения по их обработке отражаются в реестре информационных рисков и в плане обработки рисков, представляющих собой важное средство коммуникации рисков. Структура этих документов далее будет подробно рассмотрена.
