Bilgi güvenliği risk değerlendirmesi

Kuruluş aşağıda belirtilen şartları yerine getiren bir bilgi güvenliği risk değerlendirmesi sürecini tanımlamalı ve uygulamalıdır:

a) Aşağıdakileri içeren bilgi güvenliği risk kriterlerinin oluşturulması ve sürdürülmesi:

1) Risk kabul kriterleri ve
2) Bilgi güvenliği risk değerlendirmesi yapılması için kriterler,

b) Tekrarlanan bilgi güvenliği risk değerlendirmelerinin tutarlı, geçerli ve karşılaştırılabilir sonuçlar üretmesinin temin edilmesi,

c) Bilgi güvenliği risklerinin tespit edilmesi:

1) Bilgi güvenliği yönetim sistemi kapsamı dâhilindeki bilginin gizlilik, bütünlük ve erişilebilirlik kayıpları ile ilgili risklerin tespit edilmesi için bilgi güvenliği risk değerlendirme prosesinin uygulanması ve

2) Risk sahiplerinin belirlenmesi,

d) Bilgi güvenliği risklerinin analiz edilmesi:

1) Madde 6.1.2 c) 1) de belirlenen riskler gerçekleştiği takdirde muhtemel sonuçların değerlendirilmesi,

2) Madde 6.1.2 c) 1) de belirlenen risklerin gerçekleşmesi ihtimalinin gerçekçi bir şekilde
değerlendirilmesi ve

3) Risk seviyelerinin belirlenmesi,

e) Bilgi güvenliği risklerinin değerlendirilmesi:

1) Risk analizi sonuçlarının Madde 6.1.2 a) da oluşturulan risk kriterleri ile karşılaştırılması ve
2) Analiz edilen risklerin risk işleme için önceliklendirilmesi.

Kuruluş bilgi güvenliği risk değerlendirme süreci ile ilgili olarak yazılı bilgileri muhafaza etmelidir.