Stanovení kontextu
H Řízení rizik Řízení rizik podle norem ISO Stanovení kontextu Identifikace a hodnocení aktiv Identifikace hrozeb a zranitelností Analýza rizik Zvládání rizik
Stanovení kontextu vychází z účelu řízení rizik, protože stanovení účelu ovlivňuje celý proces řízení rizik. Účelem může být podpora systému řízení bezpečnosti informací, soulad s legislativou, definice požadavků na bezpečnost služby nebo produktu případně může být účelem určení výchozích poznatků pro plánování zvládání bezpečnostních incidentů nebo kontinuity podnikání (BCM – Business Continuity Management). Kontext zahrnuje přístup, který bude uplatněn pro řízení rizik, a to stanovením, jaká budou kritéria hodnocení rizik, dopadu rizik a akceptace rizik. Stanovení kontextu rovněž definuje rozsah a hranice řízení rizik, aby bylo jasně určeno, která rizika budou v rámci procesu brána v úvahu, a také s odůvodněním uvést všechna vyloučení z procesu v uvedeném rozsahu. Zavádění procesu řízení rizik a účinné provozování systému řízení rizik samozřejmě vyžaduje podporu managementu. Celý proces řízení rizik v ISO 27005 předpokládá, že vedoucí pracovníci i zaměstnanci budou informování o rizicích a způsobech jejich ošetření ke zmírnění rizik. Aby incidenty a události bylo možné řešit co možná nejúčinněji, je informovanost vedoucích a zaměstnanců důležitým aspektem, stejně jako definování rolí a odpovědností, stanovení vztahů zainteresovaných stran, eskalace rozhodování a podpora rozvoje procesu řízení rizik (ISO 27005, 2013).