6.2.11 - Possui matriz de risco em sistemas da informação.

Detalhes do Critério 
 O que: O órgão setorial desenvolveu e mantém uma matriz de risco que identifica e avalia as ameaças e vulnerabilidades aos seus sistemas de informação, bem como o impacto potencial desses riscos. 
 Por que: A matriz de risco é uma ferramenta fundamental para a gestão da segurança da informação, permitindo priorizar os esforços e os investimentos em medidas de proteção mais eficazes contra os riscos mais críticos. 
 Onde: A matriz de risco é um documento interno do órgão setorial. 
 Quando: A matriz de risco deve ser revisada e atualizada periodicamente. 
 Quem: A área de TIC do órgão setorial, possivelmente em colaboração com outras áreas, é responsável pela elaboração e manutenção da matriz de risco. 
 Como: Realizando análises de risco, identificando ativos, ameaças e vulnerabilidades, avaliando o impacto e a probabilidade dos riscos, e documentando tudo na matriz. 
 Quanto: A elaboração e manutenção da matriz de risco.