To kolejny krok w procesie analizy ryzyka, w którym oceniamy adekwatność stosowanych mechanizmów kontrolnych do zidentyfikowanych i oszacowanych ryzyk po analizie atrybutów. Wyniki oceny powinny determinować dalsze dalsze kroki, w postaci opracowania planu postępowania lub akceptacji aktualnych zabezpieczeń. Poniżej przykłady wyników oceny i odpowiadających ich im zabezpieczeń.

Przykład 1. Wysokie ryzyko wyłącznie w atrybucie poufności
 
 

 
Ważną umiejętnością jest poprawna interpretacja wyników analizy atrybutów bezpieczeństwa, aby wskazać odpowiednie mechanizmy zabezpieczające lub zaplanować plan postępowania z ryzykiem.

W tym przykładzie analiza wskazuje wysokie ryzyko wyłącznie w atrybucie poufności, natomiast pozostałe atrybuty nie przekraczają poziomów zdefiniowanego progu ryzyka nieakceptowalnego.
 

Stan mechanizmów zabezpieczających odpowiedni do oceny atrybutów
 

Ważną zasadą jest wskazywanie atrybutów, które zapewnią poufność.

Ryzyko: wyciek poufnych danych z niezaszyfrowanego laptopa

Poprawne zabezpieczenia: wprowadzenie szyfrowania całej zawartości dysku

Niepoprawne zabezpieczenia: szkolenia z bezpieczeństwa danych osobowych, 8 znakowe hasło zmieniane co 30 dni, kopie zapasowe informacji na laptopie, zapasowy laptop.

Przykład 2. Wysokie ryzyko występuje w trzech atrybutach
 
 

 
Analiza atrybutów zakończyła się w tym przypadku wysokim ryzykiem w obszarze:

• strat finansowych,
• dostępności,
• poufności.

 
 
Stan mechanizmów zabezpieczających odpowiedni do oceny atrybutów
 

W tym przypadku jesteśmy zmuszeni na wskazanie zabezpieczeń w trzech obszarach.