segunda-feira, 16 de março de 2015

Norma ISO 27005 - Definição de Contexto

Convém que a Gestão de Risco de Segurança da Informação (ISO 27005) seja um processo contínuo e que envolva três etapas, que são a definição de contexto, avaliação e tratamento dos riscos.

É preciso definir um contexto que para seja possível atuar de forma mais precisa. Organizações diferentes possuem diferentes necessidades no que diz respeito a risco de segurança da informação. É neste momento em que se deve definir certos critérios que serão válidos durante toda a gestão de risco.

Os critérios básicos da definição de contexto são: de avaliação, de impacto e de aceitação. Eles precisam ser definidos antecipadamente para que não sejam alterados de acordo com as pressões de um momento de incertezas. Além dos critérios, não podemos esquecer do escopos e limites da gestão de risco.

Na definição de contexto, todas as informações sobre a organização que a ajudem a definir o contexto do GRSI são consideradas entradas. Os elementos citados anteriormente: critérios básicos, especificação de escopo e limites do processo de gestão de risco são saídas da etapa, mas não as únicas. Ainda é necessário estabelecer uma organização apropriada em termos de papéis para operar a Gestão dos riscos.

As diretrizes da Definição de Contexto determinam o propósito da Gestão de Risco e são elas que irão apoiar a resposta a incidentes, planos de continuidade de negócios e a conformidade legal.