Após o recente lançamento da versão atualizada da ISO/IEC 27001:2022, agora foi publicada a nova norma revisada ISO/IEC 27005:2022 - Segurança da informação, segurança cibernética e Proteção à Privacidade - Orientações para gestão de riscos em segurança da informação. Esta é uma revisão relevante considerando a evolução das normas e padrões internacionais e das mudanças no ambiente tecnológico e ameaças digitais que as empresas estão expostas.

A norma internacional revisada substitui a versão anterior de 2018, publicada no Brasil como ABNT NBR ISO/IEC 27005:2019 - Tecnologia da informação - Técnicas de segurança - Gestão de riscos de segurança da informação

Aplicável a todas as organizações, independentemente do tipo, porte ou setor, a norma fornece orientações para implementar os requisitos da ISO 27001, com uma abordagem de gestão de riscos, mais especificamente no processo de avaliação e tratamento de riscos em segurança da informação. Estas orientações seguem as diretrizes e terminologia da ISO 31000: Gestão de Riscos – Diretrizes, a referência internacional de gestão de riscos, o que permite manter uma linguagem comum e o alinhamento com uma estrutura de gestão de riscos corporativos.

Ambas as normas ISO 27005 e ISO 31000 fornecem diretrizes para gestão de riscos na organização, porém a ISO 31000 é uma norma genérica aplicável em qualquer tipo de risco ou atividade, enquanto a ISO 27005 é aplicada especificamente à riscos de segurança da informação.

Como principais mudanças, a nova ISO 27005 está agora mais alinhada com a ISO 31000 e a ISO/IEC 27001, o conceito de cenário de risco foi introduzido e também uma nova abordagem para identificação de riscos baseada em eventos foi contrastada com a abordagem baseada em ativos. O conteúdo dos anexos da versão anterior foi revisado e reestruturado em um único anexo: Anexo A - Exemplos de técnicas de apoio ao processo de avaliação de riscos.

No Brasil, o grupo de trabalho da ABNT participou ativamente nos trabalhos de revisão da norma e já iniciou o planejamento da tradução do documento para português, para adoção como norma brasileira. Interessados em colaborar podem enviar um e-mail solicitando participação para abastos@modulo.com.br