Definição¶
O tratamento de riscos de segurança da informação refere-se ao processo de identificar, avaliar e implementar medidas para mitigar riscos que possam afetar a segurança das informações em uma organização. Este processo é essencial para garantir a continuidade e a resiliência do sistema de gestão de segurança da informação, incluindo a implementação de medidas para mitigar, transferir ou aceitar os riscos conforme necessário.
Fatos principais¶
- As opções de tratamento incluem evitar, modificar, partilhar ou manter os riscos, dependendo da avaliação da organização sobre a aceitabilidade dos riscos. [27003.pdf]
- A determinação dos controles de segurança necessários deve ser baseada em avaliações de risco anteriores e deve buscar a eficácia e eficiência na mitigação dos riscos. [27003.pdf]
- O plano de tratamento de riscos deve ser discutido com as partes interessadas relevantes e aprovado pelos proprietários dos riscos identificados. [27007.pdf]
- A organização deve documentar os métodos utilizados para selecionar opções de tratamento e determinar os controles necessários. [27007.pdf]
- O plano de tratamento de riscos deve ser atualizado regularmente com base nos resultados das avaliações de risco e as circunstâncias em mudança. [source]
- Informações documentadas sobre tratamento de riscos devem ser mantidas como evidência do processo e sua implementação. [source]
Relações¶
- relacionado com: Avaliação de Risco de Segurança da Informação, ABNT NBR ISO/IEC 27001, ABNT NBR ISO/IEC 27003
- contrasta com: Identificação de Risco, Ignorar Riscos
Referências legais¶
- N/A
Contradições / incertezas¶
- N/A
Notas¶
O tratamento eficaz dos riscos de segurança da informação é essencial para o sucesso do SGSI, pois assegura que as medidas implementadas atendam aos critérios de aceitação de risco e apoiem os objetivos de segurança estabelecidos pela organização. As decisões sobre o tratamento de riscos devem ser documentadas e aprovadas pelos responsáveis pela gestão de risco. O tratamento de riscos deve ser um processo contínuo, sendo necessário rever e adaptar as estratégias conforme a evolução do contexto organizacional e das ameaças ao ambiente de segurança da informação.