Cybersecurity e Boas Práticas

Além da ISO 31000: Uma seleção de Normas ISO de Gestão de Riscos

A gestão de riscos é prática conhecida entre profissionais de diversos setores, graças à popularidade da ISO 31000. Muitos já ouviram falar, conhecem ou até aplicaram a famosa norma, que oferece diretrizes para organizações de todos os tipos e tamanhos. No entanto, o universo das normas ISO de gestão de riscos é muito mais amplo e inclui vários documentos que complementam e expandem os princípios da ISO 31000 para áreas ou setores específicos.


Tenho participado pela ABNT, representando o Brasil como especialista no ISO/TC 262 Risk Management, comitê técnico que desenvolveu a ISO 31000 e um conjunto abrangente de outras normas que abordam diferentes aspectos e tipos de riscos.


Este artigo apresenta as principais normas ISO de gestão de riscos, começando pela ISO 31000 e ampliando para outros documentos associados, muitas vezes desconhecidos. Por exemplo, da série 31000, a IEC 31010, que descreve técnicas de avaliação de riscos, a ISO 31022, para gestão de riscos legais, a ISO 31030, focada na gestão de riscos de viagem, a ISO/TS 31050, que trata da gestão de riscos emergentes e até o Handbook para implementação da 31000.


  • ISO 31000 - Gestão de Riscos - Diretrizes: fornece diretrizes gerais que podem ser aplicadas a qualquer organização, independentemente de seu tamanho, setor ou localização. Esta norma estabelece princípios, estrutura e um processo para a gestão de riscos que visa aumentar a probabilidade de atingir objetivos, melhorar a identificação de oportunidades e ameaças, e alocar e utilizar recursos de forma eficaz para o tratamento de riscos.
  • IEC 31010 - Técnicas de Avaliação de Riscos: fornece uma variedade de técnicas de avaliação de riscos. Esta norma é essencial para ajudar as organizações a selecionar e aplicar métodos adequados para identificar, avaliar e tratar riscos específicos.
  • ISO 31022 - Diretrizes para a Gestão de Riscos Legais: oferece orientações específicas para a gestão de riscos legais, abordando questões como conformidade regulatória e responsabilidade jurídica. Esta norma é relevante para organizações que operam em ambientes altamente regulamentados ou que enfrentam desafios legais significativos.
  • ISO 31030 - Gestão de Riscos de Viagem:focada em riscos associados a viagens de negócios, fornece diretrizes para ajudar as organizações a proteger seus funcionários durante deslocamentos. Abrange desde a avaliação de riscos de viagem até a implementação de medidas de tratamento e resposta.
  • ISO/TS 31050 - Gestão de Riscos Emergentes:documento técnico que oferece diretrizes para a gestão de riscos emergentes, ajudando as organizações a aumentar sua resiliência e capacidade de resposta a novos desafios. Suas práticas são oportunas em um mundo onde os riscos podem surgir de mudanças rápidas no ambiente econômico, tecnológico ou social.
  • ISO 31073 - Vocabulário de Gestão de Riscos:para garantir uma comunicação clara e consistente, define termos e conceitos fundamentais na gestão de riscos. Esta norma é uma ferramenta importante para padronizar a terminologia usada em toda a organização e entre diferentes partes interessadas.
  • Guia para Implementação da ISO 31000:um guia prático para a implementação da ISO 31000. Inclui etapas detalhadas, exemplos de estudos de caso e melhores práticas que ajudam as organizações a aplicar os princípios de gestão de riscos de maneira eficaz.
  • ISO/IEC 27005 - Segurança da Informação — Gestão de Riscos:fornece diretrizes para a gestão de riscos de segurança da informação, complementando a ISO 27001. Descreve um processo estruturado para identificar, avaliar e tratar riscos, com o objetivo de proteger a confidencialidade, integridade e disponibilidade da informação, ajudando as organizações a implementar controles adequados e a tomar decisões informadas sobre segurança.
  • ISO/IEC 23894 - Tecnologia da Informação — Inteligência Artificial — Orientações para a Gestão de Riscos:fornece orientações para a gestão de riscos associados à inteligência artificial, abordando questões como segurança, privacidade e implicações éticas. Apoia as organizações a identificar, avaliar e tratar os riscos específicos relacionados ao uso de tecnologias de IA, promovendo uma implementação segura e responsável.
  • ISO/IEC 27557 - Segurança da Informação, Cibersegurança e Proteção da Privacidade — Aplicação da ISO 31000:2018 para a Gestão de Riscos de Privacidade Organizacional:oferece diretrizes para a gestão de riscos de privacidade dentro das organizações, segundo a ISO 31000. Foca na identificação, avaliação e tratamento de riscos que possam comprometer a privacidade dos dados, ajudando a manter a conformidade com regulamentações de proteção de dados e melhorar a confiança das partes interessadas.
  • ISO/IEC 27035 - Tecnologia da Informação — Gestão de Incidentes de Segurança da Informação:oferece diretrizes detalhadas para o planejamento e a preparação para a resposta a incidentes de segurança da informação. Esta norma, dividida em três partes, ajuda as organizações a estabelecer procedimentos eficazes para detectar, reportar, avaliar e responder a incidentes de segurança, minimizando o impacto e facilitando a recuperação.

Outras Normas Importantes Relacionadas


  • ISO 9001 - Sistemas de Gestão da Qualidade:Especifica os requisitos para um sistema de gestão da qualidade, introduzindo o conceito de "mentalidade de risco". Ela ajuda as organizações a garantir a qualidade consistente de seus produtos e serviços, aumentando a satisfação do cliente.
  • ISO/IEC 27001 - Sistemas de Gestão de Segurança da Informação:estabelece os requisitos para implementar, manter e melhorar continuamente um sistema de gestão de segurança da informação. Esta norma é crucial para proteger ativos de informação e garantir a confidencialidade, integridade e disponibilidade dos dados.
  • ISO 22301 - Segurança e Resiliência — Sistemas de Gestão de Continuidade de Negócios:define os requisitos para implementar, manter e melhorar um sistema de gestão de continuidade de negócios. A norma ajuda as organizações a se prepararem, responderem e se recuperarem de incidentes disruptivos, garantindo a continuidade das operações críticas.
  • ISO 14001 - Sistemas de Gestão Ambiental — Requisitos com Orientações para Uso:fornece os requisitos para um sistema de gestão ambiental, ajudando as organizações a melhorar seu desempenho ambiental. A norma promove uma abordagem sistemática para gerenciar responsabilidades ambientais e alcançar objetivos de sustentabilidade.
  • ISO 45001- Sistemas de Gestão de Saúde e Segurança Ocupacional:especifica requisitos para um sistema de gestão de saúde e segurança ocupacional, com o objetivo de prevenir lesões e doenças relacionadas ao trabalho. Fornece uma estrutura para que as organizações melhorem continuamente seu desempenho em saúde e segurança.
Quase todas essas normas possuem versões brasileiras traduzidas para o português e publicadas pela Associação Brasileira de Normas Técnicas. Para mais informações e para adquirir as normas, visite o site da ABNT.


Espero que este artigo tenha colaborado para uma visão ampla sobre as principais normas ISO de gestão de riscos, oferecendo uma seleção de documentos que podem ser aplicados para enfrentar diferentes tipos de riscos em diversos contextos organizacionais.


Convido também todos os interessados, ou aqueles que conhecem profissionais na área, a participarem da ABNT CEE 063, a Comissão de Estudos que coordeno, responsável por desenvolver e adotar normas de gestão de riscos e de gestão de continuidade no Brasil. Para participar, basta entrar em contato direto pelo meu email abastos@modulo.com


Abraços, e até a próxima!


Alberto Bastos, @albastos

Gestão de Riscos ISO 31000
Comentários
Cybersecurity e Boas PráticasLGPD e Publicações da ANPDContato