Po zakończeniu procesu identyfikacji ryzyk przystępuje się do opracowania wykazu typów zidentyfikowanego ryzyka (incydentów) oraz określenia prawdopodobnego poziomu ich wystąpienia (poziomu ryzyka) i skutków jego wystąpienia.
Ryzyko, incydent i poziom, prawdopodobieństwo jego wystąpienia podatność i prawdopodobieństwo zaistnienia naruszenia bezpieczeństwa skutek
Przy wyborze metodologii przeprowadzenia oceny skutków należy uwzględnić podstawowe cele i atrybuty ochrony danych osobowych:
- Poufność – dane osobowe są udostępniane tylko osobom (podmiotom, procesorom) do tego uprawnionym i upoważnionym.
- Dostępność – dane muszą być zawsze dostępne dla upoważnionych użytkowników, na żądanie upoważnionego podmiotu (osoby upoważnione mają dostęp do informacji na każde żądanie).
- Integralność – dane osobowe nie mogą być zmienione w sposób nieuprawniony, pozostają w takim stanie, w jakim zapisał je autor, nikt nieuprawniony nie może w sposób niezauważony zmienić ich treści.
- Autentyczność – dane osobowe są takie, jak zadeklarowano; musi być zapewniona weryfikacja tożsamości wykonawców, którzy przetwarzają dane lub którym są one udostępniane, a także prawdziwość tych danych.
- Rozliczalność – działaniom osoby upoważnionej lub podmiotu upoważnionego jest jednoznacznie przypisana odpowiedzialność za udostępnianie i przechowywanie danych.
Administrator lub podmiot przetwarzający może wykonać analizę ryzyka manualnie lub za pomocą narzędzi w postaci specjalistycznego oprogramowania albo aplikacji. Prowadzenie analizy ryzyka w sposób manualny obarcza nas odpowiedzialnością za obliczenia, określenie możliwych zagrożeń, skutków, słabych punktów, pozwala na kontrolę poprawności przyjętych założeń i działań wykonywanych podczas analizy. Analiza taka jest pracochłonna i wymaga koncentracji. Jej zaletą jest to, że po wykonaniu tych czynności zespół odpowiedzialny za ochronę danych osobowych w systemie TI posiada kompletną wiedzę na temat bezpieczeństwa analizowanego systemu oraz wnikliwie przebadał wszystkie sytuacje, które mogą pojawić się w trakcie życia systemu i przetwarzania w nim danych.
W przypadku dużego i skomplikowanego systemu niezbędne jest użycie narzędzi do automatyzacji pracy. Dzięki odpowiedniemu oprogramowaniu można m.in. w łatwy sposób zarządzać danymi, przeglądać różne scenariusze działań, korzystać z gotowych bibliotek zawierających zbiór zagrożeń, zabezpieczeń i podatności.