Plan de Tratamiento de los Riesgos.
La organización debe implementar el plan de tratamiento de los riesgos de seguridad de la información que se definió en la cláusula 6.
La organización debe conservar información documentada de los resultados del tratamiento de los riesgos de seguridad de la información.
El proceso de tratamiento de riesgos se lleva a cabo siempre después de cada evaluación de riesgos de seguridad para garantizar que se implementen los controles o mitigaciones correctas.
Los controles para mitigar el riesgo en la seguridad de la información, se determinan siguiendo una selección de los controles enumerados en el Anexo A de ISO/IEC 27001:2022 utilizada como guía.
Es aquí donde ponemos el acento en la aplicabilidad de los controles mediante un estudio sistemático que produce como resultado la declaración de aplicabilidad o SOA (explicado en la clausula 6.1)
