Resumo de Segurança da Informação - Norma 27005

Norma 27005

Resumo da Norma ISO/IEC 27005 para Concursos Públicos

1. Introdução à Norma ISO/IEC 27005

A ISO/IEC 27005 é uma norma internacional que fornece diretrizes para Gestão de Riscos de Segurança da Informação. Ela complementa a ISO/IEC 27001 (SGSI) e auxilia na identificação, análise, avaliação e tratamento de riscos.

2. Objetivo Principal

Oferecer um framework para implementar processos sistemáticos de avaliação e tratamento de riscos, alinhados aos requisitos da ISO/IEC 27001.

3. Principais Conceitos

• Ativo: Qualquer recurso de informação que necessita proteção.
• Ameaça: Evento potencial que pode causar danos.
• Vulnerabilidade: Fraqueza que pode ser explorada por ameaças.
• Impacto: Consequência negativa da materialização de um risco.

4. Processo de Gestão de Riscos

1. Contexto: Definir escopo e critérios de risco.
2. Identificação: Reconhecer ativos, ameaças e vulnerabilidades.
3. Análise: Avaliar probabilidade e impacto dos riscos.
4. Avaliação: Comparar riscos com critérios estabelecidos.
5. Tratamento: Implementar controles (mitigar, transferir, aceitar ou evitar).

5. Tratamento de Riscos

Prioriza ações com base no nível de risco e pode incluir:

• Implementação de controles da ISO 27002.
• Transferência (ex.: seguros).
• Aceitação (riscos residuais).

6. Monitoramento e Revisão

Processo contínuo para garantir que os riscos sejam reavaliados periodicamente e que os controles permaneçam eficazes.

7. Documentação

Registros obrigatórios incluem políticas, relatórios de avaliação e planos de tratamento.

8. Relação com Outras Normas

• ISO 27001: Requer gestão de riscos (cláusula 6.1.2).
• ISO 27002: Fornece controles para tratamento.

9. Dicas para Concursos

• Foque nos passos do processo de gestão de riscos.
• Entenda diferenças entre ameaça, vulnerabilidade e risco.
• Saiba relacionar a ISO 27005 com a 27001 e 27002.