Escolar Documentos
Profissional Documentos
Cultura Documentos
Convem que as analises/avaliacdes de riscos identifiquem, quantifiquem e priorizem os riscos com base em
criterios para aceitagao dos riscos e dos objetivos relevantes para a organizagao. Convem que os resultados
orientem e determinem as agoes de gestao apropriadas e as prioridades para o gerenciamento dos riscos de
seguranca da informacao, e para a implementacao dos controles selecionados, de maneira a proteger contra
estes riscos. O processo de avaliar os riscos e selecionar os controles pode precisar ser realizado varias vezes,
de forma a cobrir diferentes partes da organizacao ou de sistemas de informacao especificos.
Convem que a analise/avaliagao de riscos inclua urn enfoque sistematico de estimar a magnitude do risco
(analise de riscos) e o processo de comparar os riscos estimados contra os criterios de risco para determinar a
significancia do risco (avaliacao do risco).
Convem que as analises/avaliagoes de riscos tambem sejam realizadas periodicamente, para contemplar as
mudancas nos requisites de seguranca da informacao e na situagao de risco, ou seja, nos ativos, ameacas,
vulnerabilidades, impactos, avaliagao do risco e quando uma mudanga significativa ocorrer. Essas analises/
avaliagoes de riscos devem ser realizadas de forma metodica, capaz de gerar resultados comparaveis e
reproduziveis.
Convem que a analise/avaliagao de riscos de seguranga da informagao tenha urn escopo claramente definido
para ser eficaz e inclua os relacionamentos com as analises/avaliagoes de riscos em outras areas, se
necessario.
O escopo de uma analise/avaliagao de riscos pode tanto ser em toda a organizagao, partes da organizagao,
em urn sistema de informacao especifico, em componentes de urn sistema especlfico ou em servigos onde isto
seja praticavel, realistico e util. Exemplos de metodologias de analise/avaliagao de riscos sao discutidas no
ISO/IEC TR 13335-3 (Guidelines for the management of IT security: Techniques for the management of IT
Security).
Convem que, antes de considerar o tratamento de urn risco, a organizagao defina os criterios para determinar
se os riscos podem ser ou nao aceitos. Riscos podem ser aceitos se, por exemplo, for avaliado que o risco e
baixo ou que o custo do tratamento nao e economicamente viavel para a organizagao. Convem que tais
decisoes sejam registradas.
Para cada urn dos riscos identificados, seguindo a analise/avaliagao de riscos, uma decisao sobre o tratamento
do risco precisa ser tomada. Possiveis opgoes para o tratamento do risco, incluem:
b) conhecer e objetivamente aceitar os riscos, sabendo que eles atendem claramente a politica da
organizagao e aos criterios para a aceitagao de risco;
c) evitar riscos, nao permitindo agoes que poderiam causar a ocorrencia de riscos;
d) transferir os riscos associados para outras partes, por exemplo, seguradoras ou fomecedores.
Convem que, para aqueles riscos onde a decisao de tratamento do risco seja a de aplicar os controles
apropriados, esses controles sejam selecionados e implementados para atender aos requisites identificados
pela analise/avaliagao de riscos. Convem que os controles assegurem que os riscos sejam reduzidos a um
nivel aceitavel, levando-se em conta:
b) os objetivos organizacionais;
d) custo de implementagao e a operagao em relagao aos riscos que estao sendo reduzidos e que
permanecem proporcionais as restrigoes e requisites da organizagao;
Os controles podem ser selecionados desta Norma ou de outros conjuntos de controles, ou novos controles
podem ser considerados para atender as necessidades especificas da organizagao. E importante reconhecer
que alguns controles podem nao ser aplicaveis a todos os sistemas de informagao ou ambientes, e podem nao
ser praticaveis para todas as organizagoes. Como um exemplo, 10.1.3 descreve como as responsabilidades
podem ser segregadas para evitar fraudes e erros. Pode nao ser possivel para pequenas organizagoes
segregar todas as responsabilidades e, portanto, outras formas de atender o mesmo objetivo de controle
podem ser necessarias. Em um outro exemplo, 10.10 descreve como o uso do sistema pode ser monitorado e
as evidencias coletadas. Os controles descritos, como, por exemplo, eventos de "logging", podem conflitar com
a legislagao aplicavel, tais como a protegao a privacidade dos clientes ou a exercida nos locais de trabalho.
Convem que os controles de seguranga da informagao sejam considerados na especificagao dos requisites e
nos estagios iniciais dos projetos e sistemas. Caso isso nao seja realizado, pode acarretar custos adicionais e
solugoes menos efetivas, ou mesmo, no pior caso, incapacidade de se alcangar a seguranga necessaria.
Convem que seja lembrado que nenhum conjunto de controles pode conseguir a seguranga completa, e que
uma agio gerencial adicional deve ser implementada para monitorar, avaliar e melhorar a eficiencia e eficacia
dos controles de seguranga da informagao, para apoiar as metas da organizagao.