ENTRE EM CONTATO 1-888-553-2256

ISO 27001/ISO 22301 Base de conhecimento

'. get_the_author_meta('first_name'). ' '.get_the_author_meta('last_name').'

O que mudou na avaliação de riscos na ISO 27001:2013

A avaliação de risco sempre tem sido um assunto de destaque, e especialmente agora com as mudanças na versão 2013 da ISO 27001 – há muitas dúvidas se a avaliação de riscos feita de acordo com a versão 2005 precisa ser modificada, e em caso de sim – quão grande é esta mudança.

Os mitos

blogpost-banner-22301-pt

Vamos iniciar com alguns mitos relacionados a gestão de riscos que se desenvolveram em torno da ISO 27001:2013:

  • “Nós temos que usar a ISO 31000 para gestão de riscos.” Falso – A ISO 31000 é apenas mencionada na ISO 27001:2013, mas não é obrigatória. (Veja também ISO 31000 e ISO 27001 – Como elas estão relacionadas?)
  • “Nós temos que excluir ativos, ameaças e vulnerabilidades de nossa avaliação de riscos.” Falso de novo – você pode manter sua antiga metodologia se desejar, porque a ISO 27001:2013 dá liberdade para que você identifique riscos da maneira que quiser.
  • “Nós não temos mais que identificar proprietários de ativos.” Outra declaração falsa – embora a ISO 27001:2013 não requeira que você identifique proprietários de ativos como parte da avaliação de riscos, ela requer que você faça isso no controle A.8.1.2. (Veja também Proprietários de risco vs. Proprietários de ativos na ISO 27001:2013)
  • “A identificação de riscos baseada na confidencialidade, integridade e disponibilidade (C-I-D) é um novo conceito.” Falso – este conceito existe na 27001:2005, também; na verdade, toda a norma é baseada no conceito de proteger a C-I-D desde o início.

Oque mudou na análise e avaliação de risco na ISO 27001:2013

Como você verá, as mudanças não são muito significativas:

  • A política de segurança da informação de alto nível não precisa estabelecer critérios contra os quais os riscos serão avaliados – este era o requisito da ISO 27001:2005 4.2.1 b) 4); na ISO 27001:2013, você ainda precisa definir o critério de avaliação de risco, mas não como parte da política de alto nível.
  • Como mencionado anteriormente, você não precisa usar a metodologia de ativos-ameaças-vulnerabilidades para identificar riscos – por exemplo, você pode identificar riscos com base em seus processos, baseado em seus departamentos, usando apenas ameaças e não vulnerabilidades, ou qualquer outra metodologia que você goste.
  • Você precisa identificar proprietários de risco para cada risco.
  • A ISO 27001:2005 requeria que a administração aprovasse os riscos residuais, assim como a implementação e operação do SGSI. Pelo contrário, na ISO 27001:2013 os proprietários do risco devem aceitar os riscos residuais e aprovar o plano de tratamento de risco.
  • As opções de tratamento na versão de 2013 não estão limitadas apenas na aplicação de controles, aceitação de riscos, evitar os riscos e transferir os riscos como era na versão 2005 – basicamente, você está livre para considerar qualquer opção de tratamento que considerar apropriada.

Uma mudança indireta que não é visível em uma leitura inicial da norma é que a gestão do risco tomou o papel das ações preventivas (ações preventivas não existem mais na versão 2013) – apenas ao ler a cláusula 6.1.1 da ISO 27001:2013 com mais cuidado isto se torna óbvio. Mas esta mudança faz sentido – ações preventivas nada mais são do que concluir que coisas negativas podem ocorrer no futuro, e tomar ações para preveni-las – e isto é exatamente sobre isso que trata a avaliação e tratamento de riscos. Dessa forma, a ISO 27001:2013 apenas corrigiu o que não era muito lógico na ISO 27001:2005, e a coisa boa é que você não tem que mudar seu processo de avaliação de risco por causa disso.

Assim, como você pode ver, as mudanças na avaliação e tratamento de risco são relativamente menores, e se você fez um bom trabalho com a ISO 27001:2005, então você descobrirá que a transição para a versão 2013 da ISO 27001 é relativamente fácil. Tudo que você precisa fazer é identificar proprietários de risco para cada risco, e dar a eles a responsabilidade de tomar decisões sobre os riscos.

Clique aqui para fazer o download gratuito do artigo Twelve-step transition process from ISO 27001:2005 to 2013 revision.

Nós agradecemos a Rhand Leal pela tradução para o português.

Caso tenha gostado deste artigo, inscreva se para receber atualizações

Melhore seu conhecimento com nossos recursos gratuitos sobre as normas ISO 27001 / ISO 22301.

Você pode cancelar sua inscrição a qualquer momento.

Para mais informações sobre quais dados nós coletamos, por que precisamos deles, o que nós fazemos com eles, por quanto tempo nós os mantemos, e quais são os seus direitos, veja esta Aviso de Privacidade.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

CONSULTORIA GRATUITA DA ISO 27001 E ISO 22301
Rhand Leal
ISO 27001 Expert, Advisera

OBTENHA CONSELHOS GRATUITOS

Upcoming free webinar
ISO 27001/ISO 22301: The certification process
Wednesday – October 23, 2019

NOSSOS CLIENTES

NOSSOS PARCEIROS

  • Advisera é um Provedor Certificado TPECS da Exemplar Global para as Unidades de Competência em IS, QM, EM, TL e AU.
  • ITIL® é uma marca registrada da AXELOS Limited. É usada sob licença da AXELOS Limited. Todos os direitos reservados.
  • DNV GL Business Assurance é um dos principais provedores de certificações de sistema de gestão acreditados.