ILISO27001_T030 8.2 Valoración de los Riesgos de Seguridad de la Información

Plataformas de Aprendizaje Autodirigido

8.2 Valoración de los Riesgos de Seguridad de la Información.

Requisito.

La organización realiza evaluaciones de riesgos de seguridad de la información y conserva información documentada.

Explicación.

Cuando se llevan a cabo evaluaciones de riesgos de seguridad de la información, la organización ejecuta el proceso de valoración de riesgos establecido en la fase de Planificación.

La organización debería:

  • Contar con un plan para llevar a cabo las evaluaciones de riesgos de seguridad de la información programadas cuando ocurran cambios significativos en el SGSI (o en su contexto) o incidentes de seguridad de la información.
  • Determinar cuáles de estos cambios o incidentes requieren una evaluación adicional de los riesgos de seguridad de la información.
  • Determinar cómo se desencadenan estas evaluaciones.
  • Perfeccionar gradualmente el nivel de detalle de la identificación de riesgos en repeticiones posteriores de la evaluación de riesgos de seguridad de la información en el contexto de la mejora continua del SGSI.
  • Llevar a cabo una evaluación de riesgos de seguridad de la información al menos una vez al año.