Czy w przypadku zidentyfikowania ryzyka na różnym poziomie np.: niski, średni, wysoki dla różnych aktywów czy przyjmujemy wartość najwyższą dla tego aktywu czy całe ryzyko identyfikujemy jako najwyższe?
ODPOWIEDŹ
W przypadku zidentyfikowania ryzyka na różnych poziomach dla różnych aktywów, istotne jest dokładne określenie ryzyka dla każdego z nich. Oznacza to, że każdy aktyw może być oceniany na podstawie jego własnych charakterystyk i zagrożeń. Nie zawsze wartość najwyższa dla danego aktywu będzie odpowiadać całkowitemu ryzyku organizacji, gdyż inne aktywa mogą mieć różne poziomy zagrożeń i wpływu na organizację. W takim przypadku, konieczne jest skupienie się na indywidualnych ryzykach dla poszczególnych aktywów i podejmowanie odpowiednich działań zaradczych dla każdego z nich.