8.2. Valoración de riesgos de la seguridad de la información
La empresa debe llevar a cabo valoraciones de riesgos de la seguridad de la información a intervalos planificados o cuando se propagan u ocurran cambios significativos, teniendo en cuenta los criterios establecidos.
La empresa debe conservar información documentada de los resultados de las valoraciones de riesgos en cuanto a la seguridad de la información.