二、 條文8.2 資訊安全風險評鑑
第六章所述述的風險評估方法和技術必須應用於組織ISMS範圍內的所有流程、資產、資訊和活動，由於風險不是一成不變的，因此必須以適當的頻率審查這些評估的結果。通常至少每年一次，或者如果評估確定存在一個或多個重大風險，則更頻繁。例如以下情況，也應執行風險審查：
• 完成風險處理措施後
• 法規命令變更
• 協議或合約變更
• 新的專案
• 組織的資產、資訊、基礎設施或流程有所變化
• 確定新的風險產生
• 依據經驗或新資訊，已識別風險的可能性和後果已改變

三、 條文8.3 資訊安全風險處理
由6.1.3所決定的相關風險處理的選項及作法，經由8.2更新後，組織必須執行這些選項及作法。需要強調的這些控制措施並非做一次就可以，而是要持續執行，經由風險接受的準則去決定是否需要進一步加強控制措施，不要忘記我們在風險識別的時候需要識別現有控制措施，所要識別的正是8.3正在執行的控制措施，再藉由8.2不斷更新風險評鑑，決定控制措施，這樣才是一個完整的做法，所以8.3就是執行6.1.3的計畫，保存其處理的結果，以供後續條文運用或再次執行風險評鑑時的輸入。