8.2 Risicobeoordeling van informatiebeveiliging

De organisatie moet, met geplande tussenpozen of zodra belangrijke veranderingen worden voorgesteld of zich voordoen, risicobeoordelingen voor informatiebeveiliging uitvoeren, rekening houdend met de in 6.1.2 a) vastgestelde criteria.

De organisatie moet gedocumenteerde informatie bewaren over de resultaten van de risicobeoordelingen voor informatiebeveiliging.