The organization must formally conduct AI risk assessments according to the process established during its initial planning (as per ISO 42001 section 6.1.2).

These risk assessments must be performed at two key intervals:

• At planned, predetermined times (e.g., annually or on another regular schedule).
• Whenever significant internal or external changes occur or are proposed (e.g., changes to the AI system, its intended use, new legal requirements, or emerging risks).

Following every assessment, the organization must create and maintain documented information recording the outcomes, analysis, and conclusions of the risk assessment process.

Organisaation on käytettävä, ylläpidettävä ja jatkuvasti kehitettävä laadunhallintajärjestelmää. Hallintajärjestelmän rajaukset ja soveltamisala, sisältö, rooli, täytäntöönpanotiedot ja muut tarvittavat hallintajärjestelmään liittyvät tiedot on dokumentoitava selkeästi.

Organisaatio on määritellyt menettelyt tietoturvariskien arvioimiseksi ja käsittelemiseksi. Menettelyihin sisältyy ainakin:

• Riskien tunnistamismenetelmät
• Riskianalyysimenetelmät
• Riskien arviointiperusteet (vaikutus ja todennäköisyys).
• Riskien priorisointi, käsittelyvaihtoehdot ja valvontatehtävien määrittely.
• riskien hyväksymiskriteerit
• Prosessin toteuttamissykli, resursointi ja vastuut
• Tulokset olisi sisällytettävä organisaation riskinhallintaprosessiin.

Tehtävän omistaja tarkistaa säännöllisesti, että menettely on selkeä ja tuottaa johdonmukaisia tuloksia.