ABNT NBR ISO/IEC 27002
Análise, Avaliação e Tratamento de
Riscos

DEFINIÇÕES


Importantes para a análise, avaliação e tratamento dos riscos:

Risco: combinação da probabilidade de um evento e de suas consequências.



Análise de riscos: uso sistemático de informações para identificar fontes e estimar o risco. 

Análise/avaliaçãode

riscos: processo completo de análise e avaliação de riscos.


Avaliação de riscos: processo de comparar o risco estimado com critérios de risco prédefinidos para determinar a importância do risco. 

Gestão de riscos: atividades coordenadas para direcionar e controlar uma organização no que se refere a riscos.



Tratamento do riscos: processo de seleção e implementação de medidas para modificar um risco.



Ameaça: causa potencial de um incidente indesejado, que pode resultar em um dano para um sistema ou organização.



Vulnerabilidade: fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças.

ANÁLISE E AVALIAÇÃO DE RISCOS


As análises/avaliações de riscos identifiquem, quantifiquem e priorizem os riscos com base em critérios para aceitação dos riscos e dos objetivos relevantes para a organização;



Os resultados orientem e determinem as ações de gestão e as prioridades para o gerenciamento dos riscos de segurança da informação, para a implementação dos controles selecionados de maneira a proteger contra estes riscos;



A análise/avaliação de riscos inclua um enfoque sistemático de estimar a magnitude do risco (análise de riscos) e o processo de comparar os riscos estimados contra os critérios de risco para a significância do risco
(avaliação do risco);



Sejam realizadas periodicamente de forma metódica, capaz de gerar resultados comparáveis e reproduzíveis;

TRATAMENTO DE RISCOS


antes de considerar o tratamento de um risco; 

a organização defina os critérios para determinar se os riscos podem ou não ser aceitos. 

Riscos podem ser aceitos se, por exemplo, for avaliado