14/06/2023 - Equipe Target
NBR ISO/IEC 27005 de 05/2023 - Segurança da informação, segurança cibernética e proteção à privacidade — Orientações para gestão de riscos de segurança da informação
A NBR ISO/IEC 27005 de 05/2023 - Segurança da informação, segurança cibernética e proteção à privacidade — Orientações para gestão de riscos de segurança da informação fornece orientações para ajudar as organizações a: cumprir os requisitos da NBR ISO/IEC 27001 em relação às ações para abordar riscos de segurança da informação; realizar atividades de gestão de riscos de segurança da informação, especificamente avaliação e tratamento de riscos de segurança da informação. Este documento é aplicável a todas as organizações, independentemente do tipo, tamanho ou setor. Este documento está estruturado da seguinte forma: Seção 5: Gestão de riscos de segurança da informação; Seção 6: Estabelecimento de contexto; Seção 7: Processo de avaliação de riscos de segurança da informação; Seção 8: Processo de tratamento de riscos de segurança da informação; Seção 9: Operação; e Seção 10: Alavancagem dos processos relacionados ao SGSI.
Com exceção das descrições dadas nas subseções gerais, todas as atividades de gestão de riscos apresentadas da Seção 7 à Seção 10 estão estruturadas da seguinte forma: entrada: identifica todas as informações necessárias para realizar a atividade; ação: descreve a atividade; gatilho: fornece orientações sobre quando iniciar a atividade, por exemplo, por causa de uma mudança dentro da organização, ou conforme um plano ou uma mudança no contexto externo da organização; saída: identifica qualquer informação derivada após a realização da atividade, bem como quaisquer critérios que convém que tal saída satisfaça; e orientação: fornece orientações sobre a realização da atividade, palavra-chave e conceito-chave.
Target Genius Respostas Diretas:Do que depende os critérios de probabilidade?
Como escolher um método apropriado de gestão de risco?
Como implementar um processo de avaliação de riscos de segurança da informação?
O processo de gestão de riscos de segurança da informação pode ser iterativo para atividades do processo de avaliação de riscos e/ou tratamento de riscos. Uma abordagem iterativa para a realização do processo de avaliação de riscos pode aumentar a profundidade e os detalhes da avaliação em cada iteração. A abordagem iterativa proporciona um bom equilíbrio entre minimizar o tempo e o esforço gasto na identificação de controles, ao mesmo tempo em que assegura que os riscos sejam devidamente avaliados.
O estabelecimento de contexto significa a...
