-
Não está ao pé da letra na norma ISO 27005:11, bom pelo menos eu não encontrei. Porém levei em consideração aos controles do TRATAMENTO DE RISCO que são:
MNEMÔNICO: MO R E COM os riscos
MO dificar
R eter
E vitar
COM partilhar
Letra B
-
Gabarito B
Tratamento do risco
Implementar controles para reduzir, reter, evitar ou transferir os riscos. Se o tratamento do risco não for satisfatório, ou seja, não resultar em um nível de risco residual que seja aceitável, deve-se iniciar novamente a atividade ou o processo até que os riscos residuais sejam explicitamente aceitos pelos gestores da organização.
"Retroceder Nunca Render-se Jamais !"
Força e Fé !
Fortuna Audaces Sequitur !
-
retirada da norma
Uma vez que o plano de tratamento do risco tenha sido definido, os riscos residuais precisam ser determinados. Isso envolve uma atualização ou uma repetição do processo de avaliação de riscos, considerando-se os efeitos previstos do tratamento do risco que foi proposto.
Caso o risco residual ainda não satisfaça os critérios para a aceitação do risco da organização, uma nova iteração do tratamento do risco pode ser necessária
antes de se prosseguir à aceitação do risco.
-
Complementando o comentário dos colegas:
Como mostra a Figura 2, o processo de gestão de riscos de segurança da informação pode ser iterativo para o processo de avaliação de riscos e/ou para as atividades de tratamento do risco. Um enfoque iterativo na execução do processo de avaliação de riscos torna possível aprofundar e detalhar a avaliação em cada repetição. O enfoque iterativo permite minimizar o tempo e o esforço despendidos na identificação de controles e, ainda assim, assegura que riscos de alto impacto ou de alta probabilidade possam ser adequadamente avaliados.
É possível que o tratamento do risco não resulte em um nível de risco residual que seja aceitável. Nessa situação, pode ser necessária uma outra iteração do processo de avaliação de riscos, com mudanças nas variáveis do contexto (por exemplo: os critérios para o processo de avaliação de riscos, de aceitação do risco e de impacto), seguida por uma fase adicional de tratamento do risco.
Fonte: ABNT NBR ISO/IEC 27005:2011
-
Letra B
1. Planejar
a) Definição do Contexto
b) Análise e Avaliação
c) Definição do Plano de Tratamento
d) Aceitação do Risco
2. Executar
a) IMPLEMENTAÇÃO do Plano de Tratamento
3. Verificar
a) MONITORAR Continuamente e ANÁLISE Crítica
4. Agir
a) MANTER e MELHORAR GRSI