6.1 Działania odnoszące się do ryzyk i szans
6.1.2 Ocena ryzyka bezpieczeństwa informacji
Organizacja powinna zdefiniować i stosować proces oceny ryzyka bezpieczeństwa informacji, który:
a) ustanawia i utrzymuje kryteria ryzyka bezpieczeństwa informacji, w tym:
- kryteria akceptacji ryzyka;
- kryteria przeprowadzania ocen ryzyka bezpieczeństwa informacji;
b) zapewnia, że powtarzane oceny ryzyka bezpieczeństwa informacji dają spójne, ważne i porównywalne wyniki;
c) identyfikuje ryzyka bezpieczeństwa informacji poprzez:
- zastosowanie procesu oceny ryzyka do identyfikacji zagrożeń związanych z utratą poufności, integralności i dostępności informacji w ramach systemu zarządzania bezpieczeństwem informacji;
- określenie właścicieli ryzyka;
d) analizuje ryzyka bezpieczeństwa informacji poprzez:
- ocenę potencjalnych konsekwencji, jakie mogą wyniknąć z materializacji ryzyk zidentyfikowanych w 6.1.2 c) 1);
- ocenę realistycznego prawdopodobieństwa wystąpienia ryzyk zidentyfikowanych w 6.1.2 c) 1);
- określenie poziomów ryzyka;
e) dokonuje oceny ryzyka bezpieczeństwa informacji poprzez:
- porównanie wyników analizy ryzyka z kryteriami ryzyka ustanowionymi w 6.1.2 a);
- priorytetyzację analizowanych ryzyk w celu ich dalszego przetwarzania.
Organizacja powinna przechowywać udokumentowane informacje dotyczące procesu oceny ryzyka bezpieczeństwa informacji.