Der Standard 200-3 des Bundesamt für Sicherheit in der Informationstechnik beschreibt ein strukturiertes und praxisnahes Vorgehen zur Durchführung von Risikoanalysen auf Basis des IT-Grundschutzes, um Informationssicherheitsrisiken systematisch zu identifizieren und zu steuern. Er bündelt alle risikobezogenen Arbeitsschritte und ermöglicht es Organisationen, aufbauend auf bestehenden Sicherheitsmaßnahmen gezielt zusätzliche Risiken zu bewerten und geeignete Schutzmaßnahmen abzuleiten.