ENTRE EM CONTATO 1-888-553-2256

ISO 27001/ISO 22301 Base de conhecimento

'. get_the_author_meta('first_name'). ' '.get_the_author_meta('last_name').'

Plano de Tratamento de Risco e processo de tratamento de risco – Qual é a diferença?

O Plano de Tratamento de risco é um dos documentos chave da ISO 27001, contudo ele é frequentemente confundido com a documentação que é produzida como resultado de um processo de tratamento de risco. Aqui está a diferença:

Processo de tratamento de risco

blogpost-banner-22301-pt

O tratamento de risco é uma etapa do processo de gestão de risco posterior a etapa de avaliação de risco – na avaliação de risco todos riscos precisam ser identificados, e o riscos que não s”ao aceitáveis devem ser selecionados. A principal tarefa na etapa de tratamento de risco é selecionar uma ou mais opções para tratar cada risco inaceitável, i.e. decidir como mitigar todos estes riscos. Existem quatro opções para tratamento do risco (para o processo completo de gestão de risco, favor ler Avaliação e tratamento de riscos segundo a ISO 27001 – 6 etapas básicas):

  1. Aplicar controles de segurança do Anexo A para reduzir os riscos – veja este artigo Visão geral do Anexo A da ISO 27001:2013.
  2. Transferir o risco para outra parte – e.g. para uma companhia de seguro ao se adquirir uma apólice.
  3. Evitar o risco parando um atividade que é muito arriscada, ou ao realizá-la de uma forma completamente diferente.
  4. Aceitar o risco – se, por exemplo, o custo de mitigação do risco for maior do que o próprio dano em si.

O tratamento de risco é geralmente feito na forma de uma simples folha, onde você correlaciona opções de mitigação e controles com cada risco inaceitável; isto também pode ser feito com uma ferramenta de gerenciamento de risco, caso você utilize uma. De acordo com a ISO 27001, é requerido documentar os resultados do tratamento de risco no Relatório de avaliação de risco, e estes resultados são as principais entradas para escrever a Declaração de Aplicabilidade. Isto significa que os resultados do tratamento de risco não são diretamente documentados no Plano de Tratamento de Risco.

Plano de Tratamento de Risco

Então, onde o Plano de Tratamento de Risco está em todo este processo? A resposta é: ele pode ser escrito apenas após a Declaração de Aplicabilidade ser finalizada.

Por que isso? Para começar a pensar sobre Plano de Tratamento de Risco, seria mais fácil pensar nele como um “Plano de ação” onde você precisa especificar quais controles de segurança você precisa implementar, quem é responsável por ele, quais são os prazos e quais recursos (i.e. financeiros e humanos) são requeridos. Mas de modo a escrever tal documento, primeiro você precisa decidir quais controles precisam ser implementados, e isto é feito (de uma forma muito sistemática) através da Declaração de aplicabilidade.

A questão é – por que a ISO 27001 não requer que os resultados do processo de tratamento de riscos sejam documentados diretamente no Plano de Tratamento de Risco? Por que esta etapa entre as duas é necessária, soba a forma da Declaração de aplicabilidade? Minha opinião é de que os autores da ISO 27001 queriam encorajar as organizações a ter uma imagem abrangente da segurança da informação – ao decidir quais controles são ou não aplicáveis na Declaração de aplicabilidade, o resultado de tratamento de risco não é a única entrada – outras entradas são requisitos legais, regulatórios e contratuais, outras necessidades de negócio, etc. Em outras palavras, a SoA serve como um tipo de lista de verificação que leva em conta uma vis”ao global da organização, e o Plano de Tratamento de risco não seria completo sem tal verificação.

Para concluir – o Plano de Tratamento de Risco é o ponto onde a teoria para, e a vida real começa de acordo com a ISO 27001. Um bom processo de avaliação de risco e de tratamento de risco, assim como uma Declaração de Aplicabilidade abrangente, produzirá um plano de ação muito útil para a implementação de sua segurança da informação; não realize uma destas etapas e o Plano de Tratamento de Risco apenas confundirá você.

Para saber mais, faça o download gratuito do Diagram of ISO 27001:2013 Risk Assessment and Treatment process.

Nós agradecemos a Rhand Leal pela tradução para o Português.

Caso tenha gostado deste artigo, inscreva se para receber atualizações

Melhore seu conhecimento com nossos recursos gratuitos sobre as normas ISO 27001 / ISO 22301.

Você pode cancelar sua inscrição a qualquer momento.

Para mais informações sobre quais dados nós coletamos, por que precisamos deles, o que nós fazemos com eles, por quanto tempo nós os mantemos, e quais são os seus direitos, veja esta Aviso de Privacidade.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

CONSULTORIA GRATUITA DA ISO 27001 E ISO 22301
Rhand Leal
ISO 27001 Expert, Advisera

OBTENHA CONSELHOS GRATUITOS

Upcoming free webinar
How to integrate GDPR with ISO 27001
Wednesday – September 25, 2019

NOSSOS CLIENTES

NOSSOS PARCEIROS

  • Advisera é um Provedor Certificado TPECS da Exemplar Global para as Unidades de Competência em IS, QM, EM, TL e AU.
  • ITIL® é uma marca registrada da AXELOS Limited. É usada sob licença da AXELOS Limited. Todos os direitos reservados.
  • DNV GL Business Assurance é um dos principais provedores de certificações de sistema de gestão acreditados.