Apreciación de los Riesgos.
La organización debe efectuar apreciaciones de riesgos de seguridad de la información a intervalos planificados, y cuando se propongan o se produzcan modificaciones importantes, teniendo en cuenta los criterios establecidos en el punto 6.1.2 a).
La organización debe conservar información documentada de los resultados de las apreciaciones de riesgos de seguridad de información.
Se trata entonces de implementar las evaluaciones de riesgo de acuerdo con su proceso ya definido, programar estas evaluaciones de manera regular o cuando sea necesario, y, por supuesto, documentar sus hallazgos.