ABNT/NBR ISO/IEC 27005 – Visão Geral

Olá meus caros! Primeiramente feliz natal a todos vocês! Muita luz!

Bem, conforme prometido no twitter, vou dar umas pinceladas sobre a ABNT NBR ISO/IEC 27005, norma que começou a ser cobrada com mais frequência esse ano nos concursos, principalmente nas provas do Cespe.

Here we go…

Costumo dizer em sala que a família 27000 nasceu às avessas, porque a norma de requisitos (27001) nasceu depois das práticas (27002). Pois bem, o que podemos notar é que o comitê ISO/IEC responsável pelas referidas normas de GSI (Gestão de Segurança da Informação) deixou claro, tanto nos requisitos da 27001 quanto nos objetivos de controle e controles da 27002, que em nenhuma dessas normas o processo de Gestão de Riscos seria abordado com profundidade (apenas o processo de análise / avaliação de riscos é tratado com mais detalhe na 27002). Isso porque a intenção era de criar uma norma específica para isso, tal a importância do processo de gestão de riscos para um SGSI (Sistema de Gestão de Segurança da Informação).

Dessa forma, como a Gestão de Riscos é basicamente o kick-off da implantação de um SGSI através da análise/avaliação de riscos, essa norma traz suas diretrizes para se fazer a Gestão de Riscos. Veja, são DIRETRIZES para o processo de Gestão de Riscos de SI (GRSI), não um código de práticas, uma metodologia específica. Cuidado com isso em provas!

Vejamos alguns conceitos dessa norma:

1.Esta norma está de acordo com os conceitos apresentados na norma ABNT NBR ISO/IEC 27001 e foi elaborada para facilitar a implementação satisfatória da segurança da informação baseada na gestão de riscos;
2.Esta norma se aplica a todos os tipos de organização que pretendem gerir os riscos que poderiam comprometer a segurança da informação;
3.Cabe à própria organização definir sua abordagem ao processo de riscos, levando em conta fatores tais como o escopo do SGSI e o ambiente (de negócios);
4.Os referenciais normativos são a 27001 e 27002, indispensáveis à aplicação desta norma;
5.A GRSI faz parte da gestão de riscos corporativa, devendo estar alinhada à ela;
6.A GRSI deve ser um processo contínuo que contemple DEFINIR O CONTEXTO, TRATAR e AVALIAR RISCO.
A norma, assim como suas irmãs, traz um glossário de termos, que podemos abordar nos próximos dias. Ainda, fala de sua aplicabilidade, que pode ser direcionada à organização como um todo ou à partes dela, como departamentos específicos, sendo aplicável, ainda, a controles específicos ou parte deles.

Por fim, fica perceptível que o processo de GRSI passa por um ciclo, assim distribuído nas seções:

* Definição do contexto (Seção 7); * Análise/avaliação de riscos (Seção 8); * Tratamento do risco (Seção 9); * Aceitação do risco (Seção 10); * Comunicação do risco (Seção 11); * Monitoramento e análise crítica do risco (Seção 12).

Por hoje é só. Grande abraço, pessoal! Feliz ano novo!

Fagury.

»crosslinked«

Você pode gostar...

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *