by Joaquim Pereira on October 13, 2011

A nova norma internacional ISO/IEC 27005:2011 – “Information technology — Security techniques — Information security risk management” tem por objectivo fornecer o suporte necessário às empresas e instituições de modo a que seja possível uma melhor gestão dos riscos de segurança da informação.

Nesta segunda edição, a framework utilizada na ISO / IEC 27005 foi revista, actualizada e alinhada com as seguintes publicações de gestão de risco:

– ISO 31000:2009, Risk management – Principles and guidelines
– ISO/IEC 31010:2009, Risk management – Risk assessment techniques
– ISO Guide73:2009, Risk management – Vocabulary

A nova versão da norma alinha-se e aproxima-se mais da norma ISO 31000:2009, com o objectivo de auxiliar as empresas e organizações a gerirem os riscos de segurança da informação de modo semelhante ao já utilizado na gestão de “outros” riscos.

A ISO/IEC 27005:2011 irá permitir o suporte necessário na implementação da ISO/IEC 27001, o qual assenta numa abordagem de gestão de risco.

O processo de gestão de risco da segurança da informação consiste em:

– Estabelecimento do Contexto
– Avaliação dos Riscos
– Tratamento dos riscos
– Aceitação dos Riscos
– A Comunicação dos Risco, e
– Monitorização e Revisão dos Riscos.

À semelhança da versão de 2008, a ISO/IEC 27002:2011 não especifica nenhuma metodologia a utilizar para a gestão de risco da segurança da informação, fornecendo sim uma abordagem genérica. É da responsabilidade de cada empresa ou instituição definir a sua própria abordagem à gestão de riscos, dependendo, por exemplo, do âmbito do sistema de gestão de segurança da informação, do contexto da gestão de risco, ou do sector de actividade em que actua.

Ainda, a nova versão da norma disponibiliza um novo anexo, o Anexo G, no qual são espelhadas as diferenças entre a versão 2008 e a versão 2011.

Posted in: Segurança.
Last Modified: Março 1, 2016