Questões de Administração - Identificação e avaliação de riscos (metodologia)

A versão atual da norma ABNT NBR ISO/IEC 27002 (código de prática para controles de segurança da informação) foi publicada em 2013 e trouxe como novidade a incorporação, em seu Anexo A, da norma ABNT NBR ISO/IEC 27001 (sistemas de gestão da segurança da informação), agora obsoleta.

A norma 27001 estabelece que a Política de Segurança da Informação deve prover orientação e apoio da direção para a segurança da informação, de acordo com os requisitos do negócio e das leis e regulamentações relevantes.

A norma 27002 apresenta, em seu Anexo A, os detalhes técnicos para implantação dos controles de segurança necessários ao estabelecimento do Sistema de Gestão de Segurança da Informação (SGSI).

As mudanças ocorridas no COBIT 5, com a inclusão de requisitos mais específicos de segurança da informação, de certa forma diminuíram a importância das normas 27001 e 27002 no âmbito da segurança da informação.

A norma 27001 apresenta uma metodologia de análise e avaliação de riscos ao SGSI, detalhando cada etapa de aplicação dessa metodologia, mas permite a utilização de outras metodologias, como a OCTAVE, citada no anexo da referida norma.

Responsabilidade pelos ativos e classificação da informação.

Requisitos do negócio para o controle de acesso e controle de acesso ao sistema e à aplicação.

Orientação da direção para a segurança da informação e tratamento de mídias.

Áreas seguras e requisitos de segurança de sistemas de informação.

Organização interna e dispositivos móveis e trabalho remoto.

Análise de riscos.

Avaliação de riscos.

Tratamento de riscos.

Identificação de riscos.

Avaliação do risco.

Percepção do risco.

Comunicação do risco.

Monitoramento do risco.

I.

I e II.

I e III.

II e III.