Risikostyring innebærer koordinerte aktiviteter for å rettlede og kontrollere en virksomhet med hensyn til risiko. Det omfatter å få oversikt over informasjon og teknologi i virksomheten, identifisere trusler, sårbarheter og konsekvenser ved mulige uønskede hendelser for både virksomheten og de registrerte, analysere risikoen og etablere tiltak for å opprettholde et egnet sikkerhetsnivå.
Virksomheten skal etablere og iverksette sikkerhetstiltak som er egnet for å håndtere risiko på en tilfredsstillende måte. Dette inkluderer å sikre både konfidensialitet, integritet, tilgjengelighet og robusthet i nettverk- og informasjonssystemene. Disse hensynene skal balanseres.
Det skal tas hensyn til den tekniske utviklingen, gjennomføringskostnader og informasjonsbehandlingens art, omfang, formål og sammenhengen den utføres i, når det vurderes om en risiko kan aksepteres. Arbeidet med risikostyring skal ta hensyn til for eksempel type og mengde opplysninger, virksomhetens størrelse og behandlingens kompleksitet.
