Serviços

Gestão de Risco da Segurança da Informação – ISO 27005/ISO 31000

ISO 27005/ISO 31000, Gestão de Risco de Segurança da Informação, define as linhas de orientação e suporte na gestão de riscos de segurança da informação. Este standard apoia no cumprimento dos requisitos especificados nas normas ISO 27005/ISO 31000 e foi desenhada para suportar a implementação eficaz de segurança da informação numa organização tendo por base a aproximação à gestão de riscos.

A ISO 27005/ISO 31000 pode ser utilizada por todo o tipo de organizações (empresas publico/privadas, entidades governamentais, organizações sem fins lucrativos) que tenham por objetivo gerir riscos que possam comprometer de algum modo, a segurança da informação da organização.

ISO 27005/ISO 31000 define as diretrizes para gestão do risco de segurança em sistema de informação, suportado em conceitos, modelos, processos e terminologia determinada na norma ISO 27001 e ISO 27002.

 

A Avaliação do Risco de Segurança da Informação poderá ser feita pela Hardsecure por exemplo, nas seguintes variáveis:  

  • Identificação do risco;
  • Identificação dos ativos;
  • Identificação das ameaças;
  • Identificação dos controlos existentes;
  • Identificação das vulnerabilidades;
  • Identificação das consequências;
  • Análise do risco;
  • Metodologia de análise do risco que melhor se enquadra na organização;
  • Consequências da avaliação;
  • Avaliação da probabilidade do incidente;
  • Determinação do nível de risco;
  • Avaliação do risco.   

   

O Tratamento do Risco de Segurança da Informação poderá ser feito por exemplo, às seguintes variáveis: 

  • Modificação do risco;
  • Retenção do risco;
  • Mitigação do risco;
  • Partilha do risco;
  • Monitorização e revisão dos fatores de risco;
  • Monitorização da gestão de risco, revisão e sua melhoria.

As atividades de análise/avaliação podem ser efetuadas várias vezes, através da implementação de um Sistema de gestão da ISO 27005/ISO 31000.

 

Vantagens da implementação do standard ISO 27005/ISO 31000 na organização:                                                                                               

  • Maior eficácia em investimentos através de priorização baseada em riscos;
  • Alinhamento estratégico da segurança com o negócio da organização;
  • Maior visibilidade da segurança da informação em consonância com o conselho de administração/gestão da organização;
  • Entendimento aprofundado do status face à segurança na organização;
  • Revisão periódica dos controlos de segurança.