"Critérios de avaliação de risco, de impacto, de auditoria (ERRADO) e de aceitação do risco incluem-se entre os critérios básicos para gestão de risco à informação."
7.2 Critérios básicos
7.2.1 Abordagem da gestão de riscos
Dependendo do escopo e dos objetivos da gestão de riscos, diferentes métodos podem ser aplicados.
O método também pode ser diferente para cada iteração do processo.
Convém que um método de gestão de riscos apropriado seja selecionado ou desenvolvido e leve em conta critérios básicos, tais como: critérios de avaliação de riscos, critérios de impacto e critérios de aceitação do risco.
Além disso, convém que a organização avalie se os recursos necessários estão disponíveis para:
1-� Executar o processo de avaliação de riscos e estabelecer um plano de tratamento de riscos
�2- Definir e implementar políticas e procedimentos, incluindo implementação dos controles selecionados
3-� Monitorar controles
�4- Monitorar o processo de gestão de riscos de segurança da informação
NOTA Ver também a ABNT NBR ISO/IEC 27001:2006 (Seção 5.2.1) com relação à provisão de recursos para a implementação e operação de um SGSI.
Fonte: ISO 27005:2011, pág. 17