Draagt zorg voor het op gestructureerde wijze identificeren en beheersen van informatiebeveiligings- en cyber securityrisico’s zodanig dat de risico’s in lijn zijn met de risicobereidheid en het risicoraamwerk van de organisatie.
Er is een kader voor informatierisicobeheer opgesteld en afgestemd op de doelstellingen van de organisatie en het (bedrijfs-)risicobeheerkader.