• (0)
    ISO-27001-ISO-22301-blog

    Base de conhecimento ISO 27001 e ISO 22301

    Plano de Tratamento de Risco e processo de tratamento de risco – Qual é a diferença?

    O Plano de Tratamento de risco é um dos documentos chave da ISO 27001, contudo ele é frequentemente confundido com a documentação que é produzida como resultado de um processo de tratamento de risco. Aqui está a diferença:

    Processo de tratamento de risco

    O tratamento de risco é uma etapa do processo de gestão de risco posterior a etapa de avaliação de risco – na avaliação de risco todos riscos precisam ser identificados, e o riscos que não s”ao aceitáveis devem ser selecionados. A principal tarefa na etapa de tratamento de risco é selecionar uma ou mais opções para tratar cada risco inaceitável, i.e. decidir como mitigar todos estes riscos. Existem quatro opções para tratamento do risco (para o processo completo de gestão de risco, favor ler Avaliação e tratamento de riscos segundo a ISO 27001 – 6 etapas básicas):

    1. Aplicar controles de segurança do Anexo A para reduzir os riscos – veja este artigo Visão geral do Anexo A da ISO 27001:2013.
    2. Transferir o risco para outra parte – e.g. para uma companhia de seguro ao se adquirir uma apólice.
    3. Evitar o risco parando um atividade que é muito arriscada, ou ao realizá-la de uma forma completamente diferente.
    4. Aceitar o risco – se, por exemplo, o custo de mitigação do risco for maior do que o próprio dano em si.

    O tratamento de risco é geralmente feito na forma de uma simples folha, onde você correlaciona opções de mitigação e controles com cada risco inaceitável; isto também pode ser feito com uma ferramenta de gerenciamento de risco, caso você utilize uma. De acordo com a ISO 27001, é requerido documentar os resultados do tratamento de risco no Relatório de avaliação de risco, e estes resultados são as principais entradas para escrever a Declaração de Aplicabilidade. Isto significa que os resultados do tratamento de risco não são diretamente documentados no Plano de Tratamento de Risco.

    Plano de Tratamento de Risco

    Então, onde o Plano de Tratamento de Risco está em todo este processo? A resposta é: ele pode ser escrito apenas após a Declaração de Aplicabilidade ser finalizada.

    Por que isso? Para começar a pensar sobre Plano de Tratamento de Risco, seria mais fácil pensar nele como um “Plano de ação” onde você precisa especificar quais controles de segurança você precisa implementar, quem é responsável por ele, quais são os prazos e quais recursos (i.e. financeiros e humanos) são requeridos. Mas de modo a escrever tal documento, primeiro você precisa decidir quais controles precisam ser implementados, e isto é feito (de uma forma muito sistemática) através da Declaração de aplicabilidade.

    A questão é – por que a ISO 27001 não requer que os resultados do processo de tratamento de riscos sejam documentados diretamente no Plano de Tratamento de Risco? Por que esta etapa entre as duas é necessária, soba a forma da Declaração de aplicabilidade? Minha opinião é de que os autores da ISO 27001 queriam encorajar as organizações a ter uma imagem abrangente da segurança da informação – ao decidir quais controles são ou não aplicáveis na Declaração de aplicabilidade, o resultado de tratamento de risco não é a única entrada – outras entradas são requisitos legais, regulatórios e contratuais, outras necessidades de negócio, etc. Em outras palavras, a SoA serve como um tipo de lista de verificação que leva em conta uma vis”ao global da organização, e o Plano de Tratamento de risco não seria completo sem tal verificação.

    Para concluir – o Plano de Tratamento de Risco é o ponto onde a teoria para, e a vida real começa de acordo com a ISO 27001. Um bom processo de avaliação de risco e de tratamento de risco, assim como uma Declaração de Aplicabilidade abrangente, produzirá um plano de ação muito útil para a implementação de sua segurança da informação; não realize uma destas etapas e o Plano de Tratamento de Risco apenas confundirá você.

    Para saber mais, faça o download gratuito do Diagram of ISO 27001:2013 Risk Assessment and Treatment process.

    Nós agradecemos a Rhand Leal pela tradução para o Português.

    Advisera Dejan Kosutic
    Autor
    Dejan Kosutic
    Dejan possui um grande número de certificações, Consultor de Gestão Certificado, Auditor Líder ISO 27001, Auditor Líder ISO 9001 e Associate Business Continuity Professional. Dejan lidera nossa equipe na gestão de diversos websites especializados em apoiar profissionais de ISO e TI no entendimento e implementação bem sucedida de normas internacionais. Dejan obteve seu MBA na Henley Management College, e possui larga experiência e setores de investimento, seguro e bancário. Ele é reconhecido por sua expertise em normas internacionais para continuidade de negócio e segurança da informação – ISO 22301 e ISO 27001 – e pela autoria de diversos tutoriais web, kits de documentação e livros relacionados a estes assuntos.