Prosudbu sigurnosnih rizika provodi ili koordinira savjetnik za informacijsku sigurnost, odnosno ustrojstvena jedinica nadležna za sigurnost, a odobrava i donosi čelnik tijela ili pravne osobe.
Za prosudbu sigurnosnih rizika može se koristiti pojednostavljena metoda određivanja razine rizika kao ulaznog podatka za matričnu metodu bodovanja primijenjenih standarda fizičke sigurnosti, a opisana je u Prilogu III Pravilnika o standardima fizičke sigurnosti i Uputi za provedbu mjera i standarda informacijske sigurnosti u pravnoj osobi.
Tijela i pravne osobe mogu primjenom gore rečene metode odabrati najprikladniju i najracionalniju kombinaciju mjera fizičke sigurnosti koja osigurava minimalne standarde zaštite klasificiranih podataka u odnosu na procijenjenu razinu sigurnosnog rizika.