Sikkerhetstiltakenes tilstrekkelighet og hensiktsmessighet vurderes:

  • for hvert av scenarioene det må beskyttes mot
  • i forhold til sikkerhetsgradering for berørt informasjon/klassifisering av berørt informasjonssystem, objekt eller infrastruktur

Hvorvidt allerede etablerte eller foreslåtte sikkerhetstiltak vil gi akseptabelt risikonivå og derigjennom forsvarlig sikkerhetsnivå vurderes i henhold til sammenstillingen i 6.3.1 og 6.3.2.