De acordo com a norma NBR ISO/IEC 27001, uma
organização que vise estabelecer um sistema de gestão de
segurança da informação (SGSI) deve entender o contexto
interno e externo da organização em relação aos riscos
e aplicar um processo de avaliação de riscos de segurança
da informação e uma análise qualitativa e quantitativa.
