Jest to kolejny punkt ISO/IEC 27001, która jest automatycznie wypełniana, jeśli organizacja wykazała już swoje działania w zakresie zarządzania bezpieczeństwem informacji zgodnie z wymaganiami 6.1, 6.2, a zwłaszcza 7.5, gdzie cały SZBI jest jasno udokumentowany. Organizacja powinna przeprowadzać ocenę ryzyka związanego z bezpieczeństwem informacji w zaplanowanych odstępach czasu i gdy wymagają tego zmiany, przy czym obie te czynności powinny być jasno udokumentowane i monitorowane.
Co zawiera punkt 8.2?
Chociaż ocenę ryzyka związanego z bezpieczeństwem informacji można przeprowadzić na bardzo podstawowym poziomie w arkuszu kalkulacyjnym. Znacznie lepiej jest mieć narzędzie, które ułatwia dokumentację oceny ryzyka. Istnieje również wiele bardzo specjalistycznych i drogich aplikacji do oceny ryzyka bezpieczeństwa.
Punkt 8.2 wymaga od Państwa przechowywania udokumentowanych informacji na temat wyników oceny ryzyka. Jakie ryzyko zostało zidentyfikowane? Jakie są wyniki przeprowadzonej przez Państwa analizy i oceny ryzyka? W jaki sposób ustalili Państwo priorytety przeanalizowanych ryzyk pod kątem postępowania z ryzykiem?