Serviços

Gestão de Risco da Segurança da Informação – Standard ISO 27005

O Standard ISO/IEC 27005:2011, Gestão de Risco de Segurança da Informação, define as linhas de orientação e suporte na gestão de riscos de segurança da informação. Este standard apoia no cumprimento dos requisitos especificados na norma ISO/IEC 27001 e foi desenhada para suportar a implementação eficaz de segurança da informação numa organização tendo por base a aproximação à gestão de riscos.

A ISO/IEC 27005 pode ser utilizada por todo o tipo de organizações (empresas publico/privadas, entidades governamentais, organizações sem fins lucrativos) que tenham por objetivo gerir riscos que possam comprometer de algum modo, a segurança da informação da organização.

O standard ISO/IEC 27005 define as diretrizes para gestão do risco de segurança em sistema de informação, suportado em conceitos, modelos, processos e terminologia determinada na norma ISO27001 e ISO27002.

 

A Avaliação do Risco de Segurança da Informação poderá ser feita pela Hardsecure por exemplo, nas seguintes variáveis:  

  • Identificação do risco;
  • Identificação dos ativos;
  • Identificação das ameaças;
  • Identificação dos controlos existentes;
  • Identificação das vulnerabilidades;
  • Identificação das consequências;
  • Análise do risco;
  • Metodologia de análise do risco que melhor se enquadra na organização;
  • Consequências da avaliação;
  • Avaliação da probabilidade do incidente;
  • Determinação do nível de risco;
  • Avaliação do risco.       

     

O Tratamento do Risco de Segurança da Informação poderá ser feito por exemplo, às seguintes variáveis:                                       

  • Modificação do risco;
  • Retenção do risco;
  • Mitigação do risco;
  • Partilha do risco;
  • Monitorização e revisão dos fatores de risco;
  • Monitorização da gestão de risco, revisão e sua melhoria.

                                                                                                                                           

As atividades de análise/avaliação podem ser efetuadas várias vezes, através da implementação de um Sistema de gestão da ISO/IEC 27005.


Vantagens da implementação do standard ISO/IEC 27005 na organização:                                                                                                                

  • Maior eficácia em investimentos através de priorização baseada em riscos;
  • Alinhamento estratégico da segurança com o negócio da organização;
  • Maior visibilidade da segurança da informação em consonância com o conselho de administração/gestão da organização;
  • Entendimento aprofundado do status face à segurança na organização;
  • Revisão periódica dos controlos de segurança.