เมื่อประเมินความเสี่ยงของสารสนเทศจนพบแล้ว ว่ามีเรื่องอะไรบ้างที่มีความเสี่ยง ไม่ว่าจะเสี่ยงมาก เสี่ยงปานกลางหรือเสี่ยงน้อย

ทุกความเสี่ยงต้องมีคำตอบรองรับว่าความเสี่ยงแต่ละระดับว่าจะจัดการกันมันอย่างไร  โดยทั่วไปแล้วความเสี่ยงสูงๆก็จะมีการทำแผนงานจัดการความเสี่ยง(Risk Treatment)

โดยมีมาตรการต่างๆ มาไว้คอยจัดการ  จากนั้นเขียนเป็นคู่มือไว้ ก็เป็นวิธีการที่นิยมใช้กันนะครับ

*ตรงนี้สำคัญนะครับ ผลประเมินความเสี่ยงเนี่ยจะเป็นตัวกำหนดว่าจะต้องทำแผนงานจัดการความเสี่ยง(Risk Treatment) เพื่อจัดการความเสี่ยงอะไรบ้างและมี

ประเด็นหลักๆที่สำคัญก็คือเรื่อง กฎหมาย ซึ่งหัวข้อหนึ่งที่สำคัญในการประเมินความเสี่ยง หากพบว่าประเมินความเสี่ยงแล้วพบว่าเป็นเรื่องผิดกฏหมาย แบบนี้จัดเป็นความเสี่ยงสูงต้องรีบแก้ไขโดยด่วนนะครับ