ข้อมูลในการทบทวนแบบประเมิน RLA ต่อไป ส่วนที่ 2: การประเมินผลกระทบ ส่วนที่ 2.1 ประเมินผลกระทบ (impact) ที่อาจเกิดขึ้นจากเหตุการณ์ความเสี่ยง โดยพิจารณาจากปัจจัยทางธุรกิจและปัจจัยด้านเทคโนโลยีสารสนเทศ ได้แก่
ระบบ IT หยุดชะงัก ไม่สามารถให้บริการได้ตามปกติ หรือไม่สามารถดำเนินธุรกิจอย่างต่อเนื่อง 12.2.2 วิเคราะห์ผลกระทบทางธุรกิจ (business impact analysis) จากเหตุการณ์ความเสี่ยงตาม ข้อ 12.2.1
โอกาสที่จะส่งผลกระทบ (potential impact) ต่อการดำเนินธุรกิจ ทรัพย์สิน ชื่อเสียง และการปฏิบัติตามกฎหมายหรือระเบียบที่เกี่ยวข้องกับองค์กร แต่ไม่มีความเร่งด่วนที่จะต้องแก้ไขในทันที ต่ำ ข้อบกพร่อง/ข้อตรวจพบ
ทบที่จะเกิดขึ้น (potential impact) จากเหตุการณ์ดังกล่าว (3) การประเมินค่าความเสี่ยง (risk evaluation) จัดให้มีประเมินค่าความเสี่ยงด้าน IT เพื่อจัดลำดับในการบริหารความเสี่ยงอย่างเหมาะสม โดยครอบคลุม การ