Оцінки ризиків слід виконувати періодично, щоб враховувати зміни у вимогах безпеки і в ситуації, пов'язаної з ризиком, наприклад щодо активів, погроз, вразливостей, впливів, оцінювання ризиків, а також при значних змінах. Такі оцінки ризиків слід проводити систематично, способом, що дає порівняльні та відтворювані результати. Щоб бути ефективною, оцінка ризиків інформаційної безпеки повинна мати чітко визначену сферу застосування і, при необхідності, взаємозв'язок з оцінками ризиків в інших областях.