Encontra-se em consulta nacional a versão traduzida da nova ISO 27005, norma internacional para gestão de riscos de segurança da informação. Este documento, publicado em 2022, faz parte junto com a ISO 27001 e ISO 27002, da série de normas para implementação de um SGSI: Sistema de Gestão de Segurança da Informação.
Este serviço totalmente online de Consulta Nacional da ABNT permite acessar, visualizar, imprimir e apresentar sugestões aos Projetos de Norma, antes de serem publicados. Conheça e participe deste processo de aprovação da ABNT NBR ISO/IEC 27005 - Segurança da informação, segurança cibernética e proteção à privacidade - Orientação para gestão de riscos de segurança da informação
Para acessar o serviço, acesso ABNT Consulta Nacional (abntonline.com.br) e selecione ABNT/CB-021 Tecnologias da Informação e Transformação Digital.
As observações e comentários serão analisados pelo GT5 - Grupo de Trabalho que tive a honra de liderar na ABNT, do Comitê Técnico brilhantemente coordenado pelo amigo ARIOSTO FARIAS JR . Eventuais sugestões e objeções técnicas serão avaliadas, antes da efetiva publicação como Norma Brasileira.
Esta nova versão da ISO 27005 faz parte do processo de revisão periódica dos documentos da ISO e substitui a anterior, publicada em 2018. A norma foi tecnicamente revisada e fornece diretrizes para uma gestão da segurança da informação baseada em uma abordagem sistemática de gestão de riscos, atendendo aos requisitos da ISO 27001 e os controles da ISO 27002. Os conceitos, terminologia e orientações estão também alinhados com a ISO 31000, norma principal para gestão de riscos corporativos.
Iniciando com uma seção contendo 27 termos e definições relacionados à gestão de riscos de segurança de informação, a norma está estruturada em 6 seções principais:
- Gestão de riscos de segurança da informação;
- Estabelecimento de contexto;
- Processo de avaliação de riscos de segurança da informação;
- Processo de tratamento de riscos de segurança da informação;
- Operação;
- Alavancagem dos processos relacionados ao SGSI.
Para as atividades descritas, estas são apresentadas da seguinte forma:
Entrada: Identifica as informações necessárias para realizar a atividade.
Ação: Descreve a atividade.
Gatilho: Fornece orientações sobre quando iniciar a atividade, por exemplo, por causa de uma mudança dentro da organização ou de acordo com um plano ou uma mudança no contexto externo da organização.
Saída: Identifica qualquer informação derivada após a realização da atividade, bem como quaisquer critérios que convém que tal saída satisfaça.
Orientação: Fornece orientações sobre a realização da atividade, palavra-chave e conceito-chave.
Além disto, contém um anexo informativo, com exemplos de técnicas de apoio ao processo de avaliação de riscos, como critérios de riscos de segurança da informação e técnicas práticas.
Para mais informações sobre o conteúdo da nova ISO 27005, recomendo o artigo A nova ISO 27005 para gestão de riscos de segurança da informação.
Também recomendo os artigos Como definir sua abordagem de gestão de riscos sobre as diferentes abordagens propostas, Padronizando a linguagem de riscos com a ISO 27005 para os termos e conceitos, Critérios de riscos de segurança da informação e Técnicas práticas de gestão de riscos com exemplos de apoio ao processo de avaliação de riscos.
Abraços e até a próxima,
