Novo referencial da gestão de riscos
O próximo mês de Março assistirá à tão aguardada publicação da nova norma BS7799-3:2006 que, em consonância com o estabelecido no referencial ISO/IEC 27001:2005 no que concerne ao processo de gestão dos riscos para a segurança da informação, dotará as organizações que pretendem alcançar a conformidade ou mesmo uma certificação ao nível desta norma internacional, de directrizes e orientação para a identificação, avaliação, tratamento e gestão suportadas dos riscos que pairam sobre os recursos abrangidos pelo seu sistema de gestão da segurança da informação (Information Security Management System – ISMS).
O novo referencial britânico, cujo contributo e necessidade são inegáveis para a garantia de uma gestão eficaz da segurança da informação nas organizações, estabelece as directrizes e abrange temáticas diversas, mas complementares como: a realização de análises de risco; a definição e planeamento das actividades de tratamento do risco; a determinação do processo para a tomada de decisão ao nível da gestão; a revisão das análises e avaliações de risco realizadas previamente; a caracterização dos riscos para a segurança da informação no contexto de ‘Corporate Governance’; e por fim, o alcance da conformidade com outros referenciais e regulamentos ao nível da gestão de risco.
Importa referir que se prevê que em 2007, à semelhança do que acontecerá com a actual norma ISO/IEC 17799:2005, a nova BS7799-3:2006, se torne também parte da família ISO/IEC 2700X, enquanto ISO/IEC 27005. Recorde-se que as designações ISO/IEC 27003 e ISO/IEC 27004 encontram-se até ao momento, reservadas para novos referenciais ainda em desenvolvimento, ao nível de directrizes para a implementação de sistemas de gestão da segurança da informação e ao nível de métricas para a avaliação da eficácia e eficiência também de sistemas desta natureza, respectivamente.
O novo referencial britânico, cujo contributo e necessidade são inegáveis para a garantia de uma gestão eficaz da segurança da informação nas organizações, estabelece as directrizes e abrange temáticas diversas, mas complementares como: a realização de análises de risco; a definição e planeamento das actividades de tratamento do risco; a determinação do processo para a tomada de decisão ao nível da gestão; a revisão das análises e avaliações de risco realizadas previamente; a caracterização dos riscos para a segurança da informação no contexto de ‘Corporate Governance’; e por fim, o alcance da conformidade com outros referenciais e regulamentos ao nível da gestão de risco.
Importa referir que se prevê que em 2007, à semelhança do que acontecerá com a actual norma ISO/IEC 17799:2005, a nova BS7799-3:2006, se torne também parte da família ISO/IEC 2700X, enquanto ISO/IEC 27005. Recorde-se que as designações ISO/IEC 27003 e ISO/IEC 27004 encontram-se até ao momento, reservadas para novos referenciais ainda em desenvolvimento, ao nível de directrizes para a implementação de sistemas de gestão da segurança da informação e ao nível de métricas para a avaliação da eficácia e eficiência também de sistemas desta natureza, respectivamente.
Texto de Maria Manuela Gaivéo
Consultora de Segurança da Informação
Labels: Gestão de Risco
Data 13.2.06