Resumo norma 27002
RESUMO DOS ITENS 4, 5 e 6, DA NORMA 27002.
Item 4. Análise/Avaliação e tratamento de riscos
a – Analisando/avaliando os riscos de segurança da informação.
Risco - Combinação da Probabilidade de um evento e de suas consequências. Análise de Riscos - Uso sistemático de Informações de para identificar fontes e estimar o risco. Avaliação de Riscos - Processo de comparar o Risco Estimado com critérios de Risco pré-definidos de para determinar a importância do Risco. Gestão de Riscos - A Gestão de Riscos geralmente inclui uma Análise / Avaliação de Riscos, o tratamento de riscos, uma aceitação de riscos e a comunicação de riscos. Convém que os resultados orientem e determine, as ações de gestão apropriadas para o gerenciamento dos riscos de segurança da informação, e para a implementação dos controles selecionados, de maneira a proteger contra estes riscos. O processo de avaliar os riscos e selecionar os controles pode precisar ser realizado várias vezes, de forma a cobrir diferentes partes da organização ou de sistemas de informação específicos. Análise/avaliação de riscos de segurança da informação tenha um escopo claramente definido para ser eficaz e inclua os relacionamentos com as análises/avaliações de riscos em outras áreas, se necessário.
b – Tratando os riscos de segurança da informação
Tratamento do Risco - Processo de Seleção e implementação de medidas, modificar o risco. Ameaça - Causa potencial de um incidente indesejado, que pode resultar os danos, um Sistema ou organização. Vulnerabilidade - Fragilidade de um Ativo ou grupo de ativos que ser explorada pode por uma ou mais ameaças. Evento de Segurança da Informação - Ocorrência identificada de um sistema, serviço ou rede, que indica uma possível violação da Politica de Segurança da Informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante a segurança da Informação. Incidente de Segurança da