3.1 Để phục vụ mục đích của Hướng dẫn này, quản lý rủi ro an toàn thông tin có nghĩa là quá trình xác định, phân tích, đánh giá và thông báo rủi ro liên quan đến an toàn thông tin và tiếp nhận, phòng tránh, chuyển giao hoặc giảm nhẹ rủi ro đó mức chấp nhận được, xem xét chi phí và lợi ích của các hành động được thực hiện cho các bên liên quan.
3.2 Mục tiêu của quản lý rủi ro an toàn thông tin hàng hải là hỗ trợ hoạt động hàng hải an toàn và bảo mật, vận hành linh hoạt trước các rủi ro an toàn thông tin.
3.3 Quản lý rủi ro an toàn thông tin hiệu quả cần bắt đầu ở cấp quản lý cấp cao. Quản lý cấp caocần phổ biến nhận thức về rủi ro an toàn thông tincho tất cả các cấp của tổ chức và đảm bảo chế độ quản lý rủi ro an toàn thông tin toàn diện và linh hoạt, hoạt động liên tục và thường xuyên đánh giá thông qua các cơ chế phản hồi hiệu quả.
3.4 Một cách tiếp cận được chấp nhận để đạt được điều trên là đánh giá một cách toàn diện và so sánh các vị trí quản lý rủi ro không gian hiện tại và mong muốn của tổ chức. Sự so sánh như vậy có thể cho thấy những khoảng trống có thể được giải quyết để đạt được các mục tiêu quản lý rủi ro thông qua một kế hoạch quản lý rủi ro an toàn thông tin được ưu tiên. Cách tiếp cận dựa trên rủi ro này sẽ giúp tổ chức áp dụng tốt nhất các nguồn lực của mình một cách hiệu quả nhất. 3.5 Các Hướng dẫn này trình bày các yếu tố chức năng nhằm hỗ trợ quản lý rủi an toàn thông tin một cách hiệu quả. Những yếu tố chức năng này không theo trình tự - tất cả nên được thực hiện đồng thời và liên tục trong thực tế và cần được kết hợp một cách thích hợp trong một khuôn khổ quản lý rủi ro:
Xác định: Xác định vai trò và trách nhiệm của nhân viên đối với việc quản lý rủi ro an toàn thông tin và xác định các hệ thống, tài sản, dữ liệu và khả năng mà khi bị hư hỏng sẽ gây rủi ro cho hoạt động của tàu, thuyền.
.2 Bảo vệ: Thực hiện các quy trìnhvà biện pháp kiểm soát rủi ro, và kế hoạch dự phòng để bảo vệ chống lại sự xâm nhập và đảm bảo tính liên tục của hoạt động hàng hải.
.3 Phát hiện: Phát triển và thực hiện các hoạt động cần thiết để phát hiện hoạt động xâm nhập một cách kịp thời.
.4 Đáp ứng: Xây dựng và thực hiện các hoạt động và kế hoạch cung cấp khả năng phục hồi và phục hồi các hệ thống cần thiết cho các hoạt động hàng hải hoặc dịch vụ bị suy giảm do hoạt động xâm nhập.
.5 Khôi phục: Xác định các biện pháp sao lưu và khôi phục các hệ thống công nghệ thông tin cần thiết cho các hoạt động hàng hải bị ảnh hưởng bởi hoạt động xâm nhập.
3.6 Các yếu tố chức năng này bao gồm các hoạt động và kết quả mong muốn của việc quản lý rủi ro an toàn thông tin hiệu quả đối với các hệ thống quan trọng ảnh hưởng đến hoạt động hàng hải và trao đổi thông tin và được coi là một quá trình liên tục với các cơ chế phản hồi hiệu quả. 3.7 Quản lý rủi ro an toàn thông tin hiệu quả cần đảm bảo mức độ nhận thức hợp lý về rủi ro an toàn thông tin ở tất cả các cấp của một tổ chức. Cấp độ nhận thức và sự sẵn sàng nên phù hợp với từng vai trò và trách nhiệm trong hệ thống quản lý rủi ro an toàn thông tin.