Для каждого бизнес-процесса совместно с его владельцем должны быть идентифицированы и документированы связанные с ним бизнес-требования к информационной безопасности, которые организация разработала для поддержки своих деловых операций и процессов и которые применяются к информационным системам и активам организации. Это могут быть временные ориентиры, такие как время оформления заказа, время доставки товара и т.п., а также требования по качеству предоставляемых услуг или по точности информации.
Требования безопасности для многих бизнес-процессов могут быть еще не определены на этапе первоначальной оценки рисков, ведь конечной целью такой оценки как раз и является определение этих требований. Поэтому не стоит смущаться, если на данном этапе реестр бизнес-требований к безопасности останется полупустым. Он будет заполнен в дальнейшем по результатам оценки рисков.