Definição¶
A Avaliação de Risco em Segurança da Informação é o processo de identificar, quantificar e priorizar riscos relacionados aos ativos de informação de uma organização. Este processo exige a análise de ameaças, vulnerabilidades e o potencial impacto de incidentes de segurança da informação.
Fatos principais¶
- A avaliação de risco deve ser realizada de forma periódica para abordar mudanças nas necessidades de segurança da informação e na situação de risco da organização. [source]
- O sistema de avaliação de risco deve incluir uma abordagem sistemática para estimar a magnitude dos riscos e comparar esses riscos com critérios de aceitação de risco. [source]
Relações¶
- relacionado com: ISMS, Tratamento de Risco
- contrasta com: Negligência na Segurança da Informação
Referências legais¶
- N/A
Contradições / incertezas¶
- N/A
Notas¶
A avaliação de risco é um componente essencial do ISMS e deve ser conduzida em um método que forneça resultados comparáveis e reproduzíveis. As metodologias de avaliação de risco, como as sugeridas na norma ISO/IEC 27005, são uma referência importante para a implementação eficaz desse processo.