Asegurar que las evaluaciones de riesgos, las evaluaciones de vulnerabilidad y los análisis de amenazas se lleven a cabo periódicamente y de manera consistente para identificar los riesgos de la información de la organización.
Conocimiento de fuentes de información fidedignas, confiables y oportunas concernientes a las nuevas amenazas y vulnerabilidades de la información.
Conocimiento de los eventos que pueden requerir reevaluaciones de riesgos y cambios a los elementos del programa de seguridad de la información.
Conocimiento de las amenazas a la información, las vulnerabilidades, las exposiciones y su naturaleza cambiante.
Conocimiento de las metodologías de evaluación y análisis de riesgos.
Conocimiento de los requisitos para la presentación de informes de riesgos (por ejemplo, frecuencia, audiencia, componentes).
Conocimiento de modelado de línea base de controles y su relación con el análisis basado en riesgos.