Ao estabelecer um SGSI, a organização deverá analisar e
avaliar os riscos e, nesse contexto, avaliar a probabilidade real
da ocorrência de falhas de segurança à luz de ameaças e
vulnerabilidades prevalecentes, bem como de impactos
associados aos ativos e aos controles atualmente
implementados.