ISO 27005
Gestão de Riscos Cibernéticos
Objetivo:
Implantar o processo de riscos de SI segundo a ISO/IEC 27005, alinhado à ISO 31000.
-
Definir critérios, apetite e escalas de impacto e probabilidade.
-
Identificar, analisar e priorizar cenários (qualitativo e semiquantitativo).
-
Selecionar tratamentos (mitigar, aceitar, transferir e evitar) mapeados a controles.
-
Operar registro de riscos, aceite, exceções e reporte executivo.
Integrar riscos de terceiros, cloud e privacidade; introduzir noções de quantificação.
Carga Horária:
5 horas
Conteúdo:
1- Fundamentos e Frameworks de Risco
1.1- ISO/IEC 27005 e ISO 31000: princípios, processo e integração com SGSI (ISO 27001)
1.2- Terminologia: ameaça, vulnerabilidade, impacto, probabilidade, risco inicial x residual
1.3- Conexões com NIST CSF 2.0, CIS v8, COBIT e COSO ERM
2. Gestão de riscos de segurança da informação
2.1 Processo de gestão de riscos de segurança da informação
2.2 Ciclos de gestão de riscos de segurança da informação.
3. Estabelecimento de contexto
3.1 Considerações organizacionais
3.2 Identificação de requisitos básicos das partes interessadas
3.3 Aplicação da avaliação de riscos
3.4 Estabelecimento e manutenção de critérios de risco de segurança da informação
3.4.1 Generalidades
3.4.2 Critérios de aceitação de risco
3.4.3 Critérios para realizar avaliações de risco de segurança da informação
3.5 Escolha de um método apropriado.
4. Processo de avaliação de riscos de segurança da informação
4.1 Generalidades
4.2 Identificação de riscos de segurança da informação
4.2.1 Identificação e descrição de riscos de segurança da informação
4.2.2 Identificação de proprietários de risco
4.3 Análise de riscos de segurança da informação
4.3.1 Generalidades
4.3.2 Avaliação de consequências potenciais
4.3.3 Avaliação de probabilidade
4.3.4 Determinação dos níveis de risco
4.4 Avaliação dos riscos de segurança da informação
4.4.1 Comparação dos resultados da análise com os critérios de risco
4.4.2 Priorização dos riscos analisados para tratamento.
5. Processo de tratamento de riscos de segurança da informação
5.1 Generalidades
5.2 Seleção das opções de tratamento de riscos adequadas
5.3 Determinação de todos os controles necessários para implementar as opções de tratamento
5.4 Comparação dos controles determinados com os do Anexo A da ISO 27001 de 2022
5.5 Elaboração da Declaração de Aplicabilidade
5.6 Plano de tratamento de riscos de segurança da informação
5.6.1 Formulação do plano de tratamento de riscos
5.6.2 Aprovação pelos proprietários de risco
5.6.3 Aceitação dos riscos residuais de segurança da informação.
6. Operação
6.1 Execução do processo de avaliação de riscos de segurança da informação
6.2 Execução do processo de tratamento de riscos de segurança da informação.
7. Aproveitando processos relacionados do SGSI
7.1 Contexto da organização
7.2 Liderança e comprometimento
7.3 Comunicação e consulta
7.4 Informação documentada
7.4.1 Generalidades
7.4.2 Informação documentada sobre processos
7.4.3 Informação documentada sobre resultados
7.5 Monitoramento e análise crítica
7.5.1 Generalidades
7.5.2 Monitoramento e revisão de fatores que influenciam riscos
7.6 Análise crítica pela direção
7.7 Ação corretiva
7.8 Melhoria contínua.
8- Exemplo simulado e artefatos práticos
