Risikohåndtering må iverksettes når risikovurderingen viser at risikonivået er høyere enn akseptabelt. Tiltak deles gjerne inn i to kategorier: preventive tiltak (som skal redusere sannsynligheten for at en hendelse intreffer) og reaktive tiltak (som skal redusere konsekvensen når hendelsen inntreffer). Eksempler på slike tiltak kan være sikkerhetskopiering, kryptering, brannmur og så videre.
Når en vurderer sikkerhetstiltak er det også nødvendig å ta hensyn til:
Kriterier for kvalitet, funksjon og konsistens
Om tiltakene er fullstendige og dekkende
Om tiltakene er mulige å gjennomføre, både praktisk og kostnadsmessig
Verifisere at tiltakene gir ønsket effekt
Valg av sikkerhetstiltak er ikke en del av risikovurderingen, men anbefalinger om tiltak bør være en del av vurderingen.
For å lykkes med risikostyring er det en rekke faktorer som må være tilstede:
Ledelsen må se risikostyring som et viktig og nødvendig verktøy
Representanter for ulike deler av virksomheten må være involvert i arbeidet
Legg vekt på at det skal være/gjøres så enkelt som mulig
Prosessen må ha tilstrekkelige ressurser og nødvendig kompetanse. Om kompetansen finnes internt i virksomheten eller om det bør leies inn ekstern kompetanse avhenger av den enkelte virksomhet. Men ofte vil det være fornuftig først selv å gjøre en enkel risikovurdering internt
Resultatene må følges opp
Risikovurdering må være en naturlig del av beslutningsprosesser
Tjenesten Nettvett leveres