Please enable JavaScript.
Coggle requires JavaScript to display documents.
ISO 27005 (Termos e definições (consequência: resultado de um evento que…
ISO 27005
Termos e definições
-
-
nível de risco: magnitude de um risco, expressa
em termos das consequências e
probabilidade
-
-
processo de avaliação de
riscos: processo global de identificação
de riscos, análise de riscos e avaliação
de riscos
-
avaliação de risco: processo de comparar os
resultados da análise de risco com os
critérios de risco para determinar se
o risco é aceitável ou tolerável
-
A ISO 27005 adota o ciclo PDCA para estruturar os processos do Sistema de Gestão da Segurança da Informação (SGSI).
a definição do contexto, a análise/avaliação de riscos, o
desenvolvimento do plano de tratamento do risco e a aceitação do risco, fazem parte da fase "planejar"(PLAN)
as ações e controles necessários
para reduzir os riscos para um nível aceitável são implementados de acordo com o plano de tratamento do risco. (DO)
Na fase “verificar” (CHECK) do SGSI, os gestores determinarão a necessidade de revisão das avaliações e tratamento do risco à luz dos incidentes e mudanças nas circunstâncias.
Na fase “agir” (ACT), as ações necessárias são executadas, incluindo a reaplicação do processo de gestão de riscos de segurança da informação.
processo de gestão de riscos de segurança da informação: definição do contexto, avaliação de riscos, tratamento de risco, comunicação e consulta e monitoramento e análise crítica
-
-
aceitação do risco (consequência do tratamento de
riscos) tem de assegurar que os riscos residuais sejam explicitamente
aceitos pelos gestores da organização.
-
-
-
-
são critérios básicos: para o método de gestão de riscos a avaliação de riscos, os critérios de impacto e os critérios de aceitação do risco
Um risco é a combinação das
consequências advindas da ocorrência de um evento indesejado e da probabilidade da ocorrência do mesmo
-