Aluno: Antonio Roberto

Matricula: 20102380044

O item 7 da norma prope tratar da Definio do Contexto, no caso

ser o processo onde todas as informaes pertinentes a empresa ser
levada em conta para tratar da gerncia de riscos da segurana da
informao. Dentro do item ele tratar das questes de implementao,
aonde ele ir um propsito gesto de riscos de segurana da informao,
pois a sua implementao de suma importncia para o processo geral de
definio do contexto.
No item 7.2 ser tratado dos critrios bsicos aonde ser mostrado
diferentes mtodos que podero ser aplicados de acordo com a realidade da
empresa. Para uma gesto de risco apropriada deve=se levar em contar
critrios como critrios de avaliao de riscos, critrios de impacto e
critrios de aceitao do risco. Aonde tambm argumenta que a
empresa dever ter alguns requisitos ou recursos bsicos para: Executar a
anlise/avaliao de riscos e estabelecer um plano de tratamento
dos mesmos, Definir e implementar polticas e procedimentos,
incluindo implementao dos controles selecionados, Monitorar
controles e Monitorar o processo de gesto de riscos de segurana
da informao. A norma recomenda que testes sejam feitos para realizar a
avaliao de riscos tendo em vista a avaliao dos riscos de segurana da
informao na organizao levando em considerao alguns itens
pertinentes como: O valor estratgico do processo que trata as
informaes de negcio, A criticidade dos ativos de informao
envolvidos, Requisitos legais e regulatrios, bem como as
obrigaes contratuais, Importncia do ponto de vista operacional
e dos negcios, da disponibilidade, da confidencialidade e da
integridade, Expectativas e percepes das partes interessadas e
consequncias negativas para o valor de mercado (em especial, no
que se refere aos fatores intangveis desse valor), a imagem e a
reputao. Alm destes critrios para avaliao de riscos podem ser
realizados para indicar quais as prioridades e os ativos que sero mais
pertinentes proteger.
Dentro da seo est definido alguns critrios para anlise do
impacto aonde ser relacionado qual a dimenso dos prejuzos a empresa
se o ativo em questo for danificado fisicamente ou logicamente, onde ser
levado em conta as seguintes caractersticas: Nvel de classificao do
ativo de informao afetado, Ocorrncias de violao da segurana
da informao (por exemplo: perda da disponibilidade, da
confidencialidade e/ou da integridade), Operaes comprometidas
(internas ou de terceiros), Perda de oportunidades de negcio e de
valor financeiro, Interrupo de planos e o no cumprimento de
prazos, Dano reputao, Violaes de requisitos legais,
regulatrios ou contratuais.
A parte referente a aceitao do risco prev uma anlise junto a
empresa aonde at quando um prejuzo considervel aceitvel para o

negcio, tendo em vista que a maioria das empresas se baseiam pelo valor
do ativo para custear sua proteo ou mecanismos de segurana. Durante a
elaborao do plano de aceitao so levadas em conta as seguintes
diretrizes: Critrios para a aceitao do risco podem incluir mais de
um limite, representando um nvel desejvel de risco, porm
precaues podem ser tomadas por gestores seniores para aceitar
riscos acima desse nvel desde que sob circunstncias definidas,
Critrios para a aceitao do risco podem ser expressos como a
razo entre o lucro estimado (ou outro benefcio ao negcio) e o
risco estimado, Diferentes critrios para a aceitao do risco podem
ser aplicados a diferentes classes de risco, por exemplo: riscos que
podem resultar em no conformidade com regulamentaes ou leis
podem no ser aceitos, enquanto riscos de alto impacto podero
ser aceitos se isto for especificado como um requisito contratual,
Critrios para a aceitao do risco podem incluir requisitos para um
tratamento adicional futuro, por exemplo: um risco poder ser
aceito se for aprovado e houver o compromisso de que aes para
reduzi-lo a um nvel aceitvel sero tomadas dentro de um
determinado perodo de tempo, Critrios de negcio, Aspectos
legais e regulatrios, Operaes, Tecnologia, Finanas, Fatores
sociais e humanitrios.
No item 7.3 ser tratada a parte de definio do escopo e seus
limites, aonde neste item prev que todos os ativos prioritrios sejam
considerados na anlise e avalio do risco. No item e levado em conta que
todas as informaes da empresa sejam coletadas para poder levar em
conta a relevncia do mesmo ao ambiente onde ele opera dentro do
processo de gesto de riscos de segurana da informao. Os seguintes
itens devem ser levados em conta no momento que for realizado a
construo desse escopo: Os objetivos estratgicos, polticas e
estratgias da organizao, Processos de negcio, As funes e
estrutura da organizao, Requisitos legais, regulatrios e
contratuais aplicveis organizao, A poltica de segurana da
informao da organizao, A abordagem da organizao gesto
de riscos, Ativos de informao, Localidades em que a organizao
se encontra e suas caractersticas geogrficas, Restries que
afetam a organizao, Expectativas das partes interessadas,
Ambiente sociocultural,Interfaces (ou seja: a troca de informao
com o ambiente). No caso de excluso de itens do escopo dever ser
justificada pela empresa.
No item 7.4 fala da Organizao para gesto de riscos de segurana
da informao, aonde a empresa dever seguir algumas responsabilidades
para a implementao da gesto de riscos na empresa. Dentre elas esto
esses itens: Desenvolvimento do processo de gesto de riscos de
segurana da informao adequado organizao, Identificao e
anlise das partes interessadas, Definio dos papis e
responsabilidades de todas as partes, internas e externas
organizao, Estabelecimento das relaes necessrias entre a
organizao e as partes interessadas, das interfaces com as
funes de alto nvel de gesto de riscos da organizao (por
exemplo: a gesto de riscos operacionais), assim como das

interfaces com outros projetos ou atividades relevantes, Definio

de aladas para a tomada de decises, Especificao dos registros a
serem mantidos. Porm convm que gestores apropriados aprovem esta
organizao.