Куда я попал?
Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Подробнее

Информационные технологии - Методы защиты - Системы менеджмента информационной безопасности - Требования

Международный стандарт ISO № 27001 от 01.10.2013

Для проведения оценки соответствия по документу войдите в систему.
6.1.2 Оценка рисков информационной безопасности Организация должна определить и применять процесс оценки рисков информационной безопасности, который:
a) устанавливает и обеспечивает применение критериев оценки информационной безопасности, включающие в себя:
1) критерии приемлемости риска; и
2) критерии для оценки рисков информационной безопасности;
b) гарантирует, что производимые оценки рисков информационной безопасности дают непротиворечивые, обоснованные и сопоставимые результаты;
c) обеспечивает выявление рисков информационной безопасности:
1) включает в себя процесс оценки рисков информационной безопасности, направленный на идентификацию рисков, связанных с потерей конфиденциальности, целостности и возможности применения информации в рамках области действия системы менеджмента информационной безопасности; и
2) обеспечивает определение владельцев риска;
d) обеспечивает анализ рисков информационной безопасности:
1) оценку потенциальных последствий в том случае, если бы риски, идентифицированные при выполнении требований п. 6.1.2. c) 1) реализовались;
2) оценку реальной вероятности реализации рисков, идентифицированных при выполнении требований п. 6.1.2. c) 1); и
3) определение величины риска;
e) обеспечивает оценку рисков информационной безопасности:
1) сравнение результатов анализа рисков с критериями риска, установленными при выполнении требований п. 6.1.2. а); и
2) расстановку рисков по приоритетам для последующей обработки рисков. Организация должна сохранять данные процесса оценки рисков информационной безопасности как документированную информацию.

Похожие требования

NIST Cybersecurity Framework:
ID.RA-3: Threats, both internal and external, are identified and documented
ID.RA-4: Potential business impacts and likelihoods are identified
RS.CO-3: Information is shared consistent with response plans
ID.GV-4: Governance and risk management processes address cybersecurity risks