Home / Segurança / ISO 27005

ISO 27005

Gestão de Riscos de Segurança da Informação

📌 O que é a ISO/IEC 27005?

É uma norma internacional que fornece diretrizes para a gestão de riscos de segurança da informação, apoiando a implementação dos requisitos da ISO/IEC 27001. Não é prescritiva, ou seja, não exige métodos específicos, mas apresenta boas práticas.

🧩 Objetivo Principal

Fornecer um processo sistemático para:

  • Identificar riscos à segurança da informação.
  • Avaliar a probabilidade e o impacto.
  • Tratar e monitorar os riscos com base em decisões informadas.

🔄 Ciclo de Gestão de Riscos (Baseado no PDCA)

  1. Estabelecimento do Contexto
    • Definição do escopo e critérios de avaliação de risco.
    • Identificação dos ativos, ameaças, vulnerabilidades e impactos.
  2. Avaliação de Riscos
    • Identificação de riscos: o que pode dar errado?
    • Análise de riscos: combinação entre probabilidade e impacto.
    • Avaliação de riscos: comparação com critérios definidos para decidir se o risco é aceitável.
  3. Tratamento de Riscos
    • Opções: evitar, reduzir, transferir ou aceitar o risco.
    • Elaboração e implementação de planos de tratamento.
  4. Aceitação do Risco
    • Realizada pela alta direção ou responsáveis, com base em critérios definidos.
  5. Comunicação e Consulta
    • Envolvimento de stakeholders durante todas as etapas.
  6. Monitoramento e Análise Crítica
    • Verificar se os controles estão funcionando.
    • Ajustar o tratamento conforme necessário.

🛠️ Conceitos-Chave

  • Ativo: qualquer coisa que tenha valor para a organização (ex: dados, sistemas).
  • Ameaça: causa potencial de um incidente indesejado (ex: ataque hacker).
  • Vulnerabilidade: fraqueza explorável por uma ameaça.
  • Risco: combinação de probabilidade e impacto de um incidente de segurança.
  • Impacto: consequência negativa para a organização (financeira, reputacional, legal etc.).

🧮 Matriz de Risco (Exemplo Simplificado)

ProbabilidadeImpactoNível de Risco
AltaAltoCrítico
MédiaAltoAlto
BaixaBaixoBaixo

🎯 Relação com a ISO/IEC 27001

  • A ISO 27005 é complementar à 27001.
  • Ajuda a cumprir o requisito da 27001 sobre análise e tratamento de riscos.
  • Não define controles, mas apoia a decisão sobre quais controles aplicar (como os do Anexo A da 27001).

Categorias: Segurança
Tags: , ,
Publicado em: 05/04/2026 17:07 e Atualizado em: 05/04/2026 17:07