8.2 Ocena ryzyka bezpieczeństwa informacji

Organizacja powinna przeprowadzać oceny ryzyka bezpieczeństwa informacji w zaplanowanych odstępach czasu lub gdy proponowane lub zachodzą istotne zmiany, uwzględniając kryteria określone w punkcie 6.1.2 a).

Organizacja powinna przechowywać udokumentowane informacje dotyczące wyników przeprowadzonych ocen ryzyka bezpieczeństwa informacji.