14/03/2018 - Equipe Target
NBR ISO/IEC 27005 de 11/2011: gestão de riscos em tecnologia da informação
A NBR ISO/IEC 27005 de 11/2011 - Tecnologia da informação - Técnicas de segurança - Gestão de riscos de segurança da informação fornece diretrizes para o processo de gestão de riscos de segurança da informação. Esta está de acordo com os conceitos especificados na NBR ISO/IEC 27001 e foi elaborada para facilitar uma implementação satisfatória da segurança da informação tendo como base uma abordagem de gestão de riscos. O conhecimento dos conceitos, modelos, processos e terminologias descritos na NBR ISO/IEC 27001 e na NBR ISO/IEC 27002 é importante para um entendimento completo desta norma. Aplica-se a todos os tipos de organização (por exemplo, empreendimentos comerciais, agências governamentais, organizações sem fins lucrativos) que pretendam gerir os riscos que poderiam comprometer a segurança da informação da organização.
Target Genius Respostas Diretas:Como deve ser o processo de gestão de riscos de segurança da informação?
Quais são os critérios para a avaliação de riscos?
Como realizar a identificação das vulnerabilidades?
Como seria a atividade de tratamento do risco?
Quais são os exemplos de ameaças comuns?
Esta norma fornece diretrizes para o processo de gestão de riscos de segurança da informação de uma organização, atendendo particularmente aos requisitos de um sistema de gestão de segurança da informação (SGSI) de acordo com a NBR ISO/IEC 27001. Entretanto, esta norma internacional não inclui um método específico para a gestão de riscos de segurança da informação. Cabe à organização definir sua abordagem ao processo de gestão de riscos, levando em conta, por exemplo, o escopo do seu SGSI, o contexto da gestão de riscos e o seu setor de atividade econômica.
Há várias metodologias que podem ser utilizadas de acordo com a estrutura descrita nesta norma para implementar os requisitos de um SGSI. Esta norma é do interesse de gestores e pessoal envolvidos com a gestão de riscos de segurança da informação em uma organização e, quando apropriado, em entidades externas que dão suporte a essas atividades. Contém a descrição do processo de gestão de riscos de segurança da informação e das ...