-
Amigos, acredito que o erro esteja neste trecho aqui, "a definição do contexto na gestão de riscos é opcional" pois encontrei no seguinte trecho da norma 27005.
Segundo a ISO 27005, "6 Visão geral do processo de gestão de riscos de segurança da informação
Em um SGSI, a definição do contexto, a análise/avaliação de riscos, o desenvolvimento do plano de tratamento do risco e a aceitação do risco, fazem parte da fase "planejar". Na fase "executar" do SGSI, as ações e controles necessários para reduzir os riscos para um nível aceitável são implementados de acordo com o plano de tratamento do risco."
**Acredito que o propósito da gestão de risco incluir as diretrizes para implementação dos controles NÃO exclui a definição do contexto, pois ambos ocorrem em fases diferentes do modelo PDCA.
O que acham?
-
A definição de contexto é a primeira etapa do processo de um SGSI, o famoso DATACM - Definição de Contexto, Análise/Avaliação de risco, Tratamento de Risco, Aceitação do risco, Comunicação do Risco e Monitoramento e Análise Crítica de Risco;
-
Complementando as informações dos colegas.
A Gestão de Riscos de Segurança abordada na norma NBR/ISO 27005 é orientada a processos. Cada uma das atividades do processo de gestão de riscos é composto de entradas, ações e saídas.
Uma das saídas do processo Definição de Contexto é "o escopo e os limites do processo de gestão de riscos de
segurança da informação" que serve de entrada para o processos subsequentes. Logo a definição de contexto não é opcional, vez que sua ausência inviabiliza as atividades subsequentes.
Fonte: NBR/ISO 27005:2011