Não é da avaliação de riscos, mas da BIA.
6.2 Análise de impacto no negócio (BIA)
6.2.1 Convém que a organização defina e documente o impacto de uma interrupção nas atividades que suportam seus produtos e serviços fundamentais. Esse processo é comumente conhecido como análise de impacto nos negócios (BIA).
6.3 Identificação de atividades críticas
A organização deve categorizar suas atividades de acordo com suas prioridades de recuperação. Aquelas atividades cuja perda, de acordo com os resultados da BIA, teriam o maior impacto no menor tempo e que necessitem ser recuperadas mais rapidamente devem ser chamadas de “atividades críticas”. Cada atividade crítica suporta um ou mais produtos ou serviços principais.
6.5 Avaliando ameaças a atividades críticas (realizando uma avaliação de riscos)
6.5.1 Em um contexto de GCN, convém que o nível de risco seja entendido especificamente no que diz respeito às atividades críticas da organização e aos riscos de uma interrupção destas. As atividades críticas têm como base recursos como pessoas, instalações, tecnologia, informações, suprimentos e partes interessadas. Convém que a organização entenda as ameaças a esses recursos, as vulnerabilidades de cada recurso e o impacto que haveria se uma ameaça se tornasse um incidente e causasse uma interrupção no negócio.
Fonte: ABNT NBR 15999-1:2007