1. 59.1. Conceito
1.1. 59.1.1. Processo sistemático de identificação, análise, avaliação e tratamento de riscos relacionados à segurança da informação.
1.2. 59.1.2. Visa proteger os ativos da organização contra ameaças internas e externas.
2. 59.2. Componentes do Risco
2.1. 59.2.1. Ativo – recurso de valor para a organização (ex: dados, sistemas, pessoas).
2.2. 59.2.2. Ameaça – agente ou condição que pode explorar uma vulnerabilidade.
2.3. 59.2.3. Vulnerabilidade – fragilidade que pode ser explorada.
2.4. 59.2.4. Impacto – consequência de um evento de risco se concretizar.
2.5. 59.2.5. Probabilidade – chance de o evento ocorrer.
3. 59.3. Etapas do Processo de Gestão de Riscos
3.1. 59.3.1. Identificação de Riscos
3.1.1. 59.3.1.1. Mapeamento de ativos e processos críticos.
3.1.2. 59.3.1.2. Levantamento de ameaças e vulnerabilidades associadas.
3.2. 59.3.2. Análise de Riscos
3.2.1. 59.3.2.1. Estima a magnitude do risco com base na probabilidade e no impacto.
3.2.2. 59.3.2.2. Pode ser quantitativa (números) ou qualitativa (classificações).
3.3. 59.3.3. Avaliação de Riscos
3.3.1. 59.3.3.1. Compara os riscos analisados com critérios de aceitação definidos.
3.3.2. 59.3.3.2. Decide-se se o risco é aceitável ou precisa de tratamento.
3.4. 59.3.4. Tratamento de Riscos
3.4.1. 59.3.4.1. Opções de tratamento:
3.4.1.1. - Mitigar: reduzir probabilidade/impacto
3.4.1.2. - Transferir: passar o risco para terceiros (ex: seguro)
3.4.1.3. - Evitar: eliminar a causa do risco
3.4.1.4. - Aceitar: tolerar o risco residualmente
3.5. 59.3.5. Comunicação e Consulta
3.5.1. 59.3.5.1. Envolve todas as partes interessadas ao longo do processo.
3.5.2. 59.3.5.2. Garante alinhamento e apoio da alta gestão.
3.6. 59.3.6. Monitoramento e Revisão
3.6.1. 59.3.6.1. Avaliação contínua do ambiente e dos controles de risco implementados.
3.6.2. 59.3.6.2. Ajustes devem ser realizados conforme mudanças de contexto.