זיהוי הסיכונים- סעיף בתקן ISO 27001-2013
על הארגון לבצע מיפוי כל הסיכונים על נכסי החברה בתחום אבטחת מידע בהתאם לדרישות התקן .
לאחר מיפוי הסיכונים יש ולזהות את איומי אבטחת המידע על אותם נכסים, נקודות התורפה , חולשות שעלולות להיות מנוצלות על ידי אותם גורמים שינסו לבצע "חדירה" למידע . סקרי סיכונים ומבחני חדירה.
מומלץ להכין טבלה של כל הסיכונים- לפי מחלקות בארגון, הסיכון, סוג הסיכון, רמת הסיכון (קביעת משקל לכל סיכון) , השפעתו על הפעילות השוטפת בארגון, אמצעי מניעת הסיכון / צמצום הסיכון , מה תהיה רמת הסיכון לאחר שיבצע הארגון את הפעולות שהגדיר כאמצעי מניעת הסיכון , אחראי, לו"ז בדיקה. כמו כן, ישנם סיכונים להם נדרש תקציב ייחודי שאותו יש להוסיף בטבלה ולדון בו בישיבת וועדת היגוי.
בנוסף, יש להכין תוכנית עבודה כתובה לטיפול בסיכונים שזוהו, להשגת מטרות הבקרה שהוגדרו , יישום אמצעי הבקרה, אפקטיביות אמצעי הבקרה, אחראי, לו"ז, תקציב (משאבים), מבקר ובודק ביצוע בפועל.
לכל בקרה יוסף התיעוד הרלוונטי שיהיה בר מדידה ככל האפשר..
זיהוי וניהול סיכוני אבטחת איכות יתבצע בארגון באופן שוטף במהלך השנה ובכל שנה
