# 8.2 Risicobeoordeling van informatiebeveiliging

> De organisatie moet, met geplande tussenpozen of zodra belangrijke veranderingen worden voorgesteld of zich voordoen, risicobeoordelingen voor informatiebeveiliging uitvoeren, rekening houdend met de in 6.1.2 a) vastgestelde criteria.
>
> De organisatie moet gedocumenteerde informatie bewaren over de resultaten van de risicobeoordelingen voor informatiebeveiliging.