Desta forma, voc\u00ea pode considerar a seguran\u00e7a da informa\u00e7\u00e3o como sendo parte da gest\u00e3o de riscos de sua organiza\u00e7\u00e3o como mostrado abaixo:<\/p>\n
![\"Information](\"https:\/\/advisera.com\/wp-content\/uploads\/\/sites\/5\/2016\/09\/Information-security-vs-risk-management-PT.png\")
<\/p>\n
Como voc\u00ea pode ver, a seguran\u00e7a da informa\u00e7\u00e3o se sobrep\u00f5em com a cyber seguran\u00e7a, e \u00e9 fortemente relacionada a tecnologia da informa\u00e7\u00e3o, e \u00e9 parte integral da gest\u00e3o de riscos de sua organiza\u00e7\u00e3o.<\/p>\n
Relacionamento entre a ISO 31000 e a ISO 27001<\/h2>\n
A vers\u00e3o anterior da ISO 27001 (de 2005) n\u00e3o mencionava a ISO 31000, mas a vers\u00e3o 2013 menciona, e \u00e9 isto que tem causado confus\u00e3o \u2013 muitas pessoas pensam que devem implementar algo novo na ISO 27001 por conta a ISO 31000, mas isso n\u00e3o \u00e9 verdade.<\/p>\n
Vamos ver o que exatamente a ISO 27001 diz sobre a ISO 31000:<\/p>\n
Na cl\u00e1usula 4.1<\/b>, a ISO 27001 menciona que voc\u00ea poderia considerar contextos externos e internos da organiza\u00e7\u00e3o de acordo com a cl\u00e1usula 5.3 da ISO 31000. E, de fato, as cl\u00e1usulas 5.3.2 e 5.3.3 da ISO 31000 s\u00e3o muito \u00fateis neste respeito porque elas proveem direcionamento valiosos em contextos externos e internos; contudo, a ISO 27001 menciona a ISO 31000 apenas em uma nota, o que significa que estes direcionamentos n\u00e3o s\u00e3o mandat\u00f3rios.<\/p>\n
Na cl\u00e1usula 6.1.3<\/b>, a ISO 27001 menciona que a gest\u00e3o da seguran\u00e7a da informa\u00e7\u00e3o na ISO 27001 esta alinhada com a ISO 31000. Assim, a ISO 27001 n\u00e3o diz que voc\u00ea precisa implementar a avalia\u00e7\u00e3o e o tratamento de riscos de acordo com a ISO 31000 \u2013 ela apenas diz que todos os requisitos da ISO 27001 j\u00e1 est\u00e3o em conformidade com a ISO 31000. Desta forma, voc\u00ea pode implementar a gest\u00e3o de riscos da forma que desejar, contanto que esteja em conformidade com a ISO 27001. (Veja tamb\u00e9m este webinar: The basics of risk assessment and treatment according to ISO 27001<\/a>.)<\/p>\n E isso \u00e9 tudo \u2013 n\u00e3o h\u00e1 nada mais al\u00e9m disso.<\/p>\n Como mencionado antes, a ISO 31000 n\u00e3o fornece nenhum conselho espec\u00edfico sobre avalia\u00e7\u00e3o de riscos de seguran\u00e7a da informa\u00e7\u00e3o e tratamento de riscos; para este prop\u00f3sito, a ISO 27005 \u2013 uma norma que d\u00e1 direcionamentos para a avalia\u00e7\u00e3o e tratamento de riscos de seguran\u00e7a da informa\u00e7\u00e3o – \u00e9 muito melhor. Ela d\u00e1 a voc\u00ea o conhecimento para identificar ativos, amea\u00e7as e vulnerabilidades, para avaliar consequ\u00eancias e probabilidades, para calcular riscos, etc. E ela est\u00e1 completamente em conformidade com a ISO 31000.<\/p>\n Ent\u00e3o, por que voc\u00ea deveria usar a ISO 31000? Al\u00e9m dos direcionamento j\u00e1 mencionados anteriormente para a identifica\u00e7\u00e3o dos contextos internos e externos, seu maio valor est\u00e1 em prover uma estrutura para gerenciar todos os tipos de riscos em n\u00edvel corporativo \u2013 ela pode ajudar voc\u00ea a transforma a gest\u00e3o de riscos de um assunto obscuro e dif\u00edcil de entender, para um pensamento que seja facilmente entend\u00edvel por todos na organiza\u00e7\u00e3o.<\/p>\n Uma vez que a ISO 31000 descreve como abordar a gest\u00e3o de riscos estrategicamente e de forma abrangente, voc\u00ea pode considerar esta norma como uma excelente estrutura para a gest\u00e3o de riscos empresarial (Enterprise Risk Management \u2013 ERM). Assim, uma vez que voc\u00ea tenha dominado a gest\u00e3o de riscos de seguran\u00e7a da informa\u00e7\u00e3o, voc\u00ea pode us\u00e1-la como base para construir a ERM.<\/p>\nISO 31000 vs. ISO 27005<\/h2>\n