14. 1
2
"Determinar riscos e oportunidades"
Planejamento (6)
Avaliação de Riscos
Critérios de riscos de SI
Comparáveis
Identificar os Riscos
Analisar os Riscos
Avaliar os Riscos
Metodologia
15. 1
2
"Determinar riscos e oportunidades"
Planejamento (6)
Avaliação de Riscos
Critérios de riscos de SI
Comparáveis
Identificar os Riscos
Analisar os Riscos
Avaliar os Riscos
Metodologia Fonte: ABNT NBR ISO/IEC 27005:2019
16. Requisito (6.2)
"A organização deve estabelecer os objetivos de
segurança da informação [...]"
Consistentes com PSI
Mensuráveis
Comunicados
Atualizados
17. Requisito (6.2)
Objetivo 1: Garantir que no mínimo 90% dos
fornecedores contratados dentro do semestre tenham
seus processos e controles de segurança avaliados
O que será feito
Quais recursos serão necessários
Quem será responsável
Quando estará concluído
Como os resultados serão avaliados
20. Comunicação (7.4)
"A organização deve determinar as comunicações internas e externas para o SGSI incluindo:
O que comunicar
quando comunicar
quem comunicar
quem será comunicado
o processo pelo qual a comunicação será realizada. "
29. Avaliação do desempenho (9)
"A organização deve avaliar o desempenho da segurança da informação e a eficácia do
sistema de gestão de segurança da informação [...]"
30. Avaliação do desempenho (9)
O que será medido
Quando o monitoramento e medição devem ser realizados
Quando os resultados monitoramento e da medição devem ser analisados
e avaliados
Quem deve analisar e avaliar esses resultados
9.1 Monitoramento, medição, análise e avaliação
33. Avaliação do desempenho (9)
9.2 Auditoria interna
"A organização deve conduzir auditorias internas a intervalos planejados para prover
informações sobre o quanto o sistema de gestão da segurança da informação [...]"
Programa de Auditoria
Critérios e escopo da auditoria
Seleção do Auditor
Documentado
36. Avaliação do desempenho (9)
9.3 Análise Crítica pela Direção
"A Alta Direção deve analisar criticamente o sistema de gestão da segurança da informação
da organização a intervalos planejados [...]"
37. Análise Crítica (9.3)
Situações das ações de análises
críticas anteriores
Mudanças nas questões internas e
externas
Avaliação de Desempenho
38. Análise Crítica (9.3)
Realimentação Partes
interessadas
Resultados de avaliação dos
riscos e situação do plano de
tratamento dos riscos
Oportunidades para melhoria
contínua
39. Melhoria (10)
10.1 Não conformidade e ação corretiva
10.2 Melhoria contínua
Analisa-la criticamente
Determinar sua causa raiz
Implementar as ações necessárias
Analisar a eficácia das ações tomadas
41. Sistema de gestão da segurança da informação (4.4)
"A organização deve estabelecer, implementar, manter e continuamente melhorar um
sistema de gestão de segurança da informação [...]""