La evaluación de riesgos según ISO 27001, es un proceso en el cual una organización debe identificar los riesgos de seguridad de su información y determinar la probabilidad de ocurrencia y su impacto. La organización debe reconocer todos los posibles problemas que pueden afectar a su información, la probabilidad de que esto ocurra y que consecuencias traería. El propósito de la evaluación de riesgos según ISO 27001 es identificar que controles son necesarios para reducir el riesgo.
Sin embargo, y aunque el proceso no es complicado,organizaciones de mayor tamaño pueden requerir el uso de metodologías un tanto más complejas y hay 6 pasos básicos para la evaluación de riesgos.
Consultar:https://www.isotools.org/2017/06/18/evaluacion-de-riesgos-segun-iso-27001/