Definição¶
O Tratamento de Risco em Segurança da Informação envolve a escolha de ações para mitigar, aceitar, evitar ou compartilhar os riscos identificados. Inclui a implementação de controles apropriados para reduzir os riscos a níveis aceitáveis de acordo com as políticas da organização.
Fatos principais¶
- As opções para tratamento de risco podem incluir a aplicação de controles adequados, a aceitação consciente de riscos ou a evitação de ações que poderiam resultar em riscos. [source]
- O tratamento de risco deve ser documentado juntamente com as decisões tomadas e as justificativas para a aceitação ou mitigação dos riscos. [source]
Relações¶
- relacionado com: Avaliação de Risco, Controles de Segurança
- contrasta com: Improdutividade em Gestão de Risco
Referências legais¶
- N/A
Contradições / incertezas¶
- N/A
Notas¶
O tratamento eficaz dos riscos identificados é um aspecto crucial para a robustez do ISMS. A seleção e implementação de controles devem ser proporcional ao impacto percebido dos riscos, e a documentação é essencial para assegurar a conformidade com os requisitos de auditoria e revisão.