Aluno: Antonio Roberto Matricula: 20102380044

O item 7 da norma prope tratar da Definio do Contexto, no caso ser o processo onde todas as informaes pertinentes a empresa ser levada em conta para tratar da gerncia de riscos da segurana da informao. Dentro do item ele tratar das questes de implementao, aonde ele ir um propsito gesto de riscos de segurana da informao, pois a sua implementao de suma importncia para o processo geral de definio do contexto. No item 7.2 ser tratado dos critrios bsicos aonde ser mostrado diferentes mtodos que podero ser aplicados de acordo com a realidade da empresa. Para uma gesto de risco apropriada deve=se levar em contar critrios como critrios de avaliao de riscos, critrios de impacto e critrios de aceitao do risco. Aonde tambm argumenta que a empresa dever ter alguns requisitos ou recursos bsicos para: Executar a anlise/avaliao de riscos e estabelecer um plano de tratamento dos mesmos, Definir e implementar polticas e procedimentos, incluindo implementao dos controles selecionados, Monitorar controles e Monitorar o processo de gesto de riscos de segurana da informao. A norma recomenda que testes sejam feitos para realizar a avaliao de riscos tendo em vista a avaliao dos riscos de segurana da informao na organizao levando em considerao alguns itens pertinentes como: O valor estratgico do processo que trata as informaes de negcio, A criticidade dos ativos de informao envolvidos, Requisitos legais e regulatrios, bem como as obrigaes contratuais, Importncia do ponto de vista operacional e dos negcios, da disponibilidade, da confidencialidade e da integridade, Expectativas e percepes das partes interessadas e consequncias negativas para o valor de mercado (em especial, no que se refere aos fatores intangveis desse valor), a imagem e a reputao. Alm destes critrios para avaliao de riscos podem ser realizados para indicar quais as prioridades e os ativos que sero mais pertinentes proteger.Dentro da seo est definido alguns critrios para anlise do impacto aonde ser relacionado qual a dimenso dos prejuzos a empresa se o ativo em questo for danificado fisicamente ou logicamente, onde ser levado em conta as seguintes caractersticas: Nvel de classificao do ativo de informao afetado, Ocorrncias de violao da segurana da informao (por exemplo: perda da disponibilidade, da confidencialidade e/ou da integridade), Operaes comprometidas (internas ou de terceiros), Perda de oportunidades de negcio e de valor financeiro, Interrupo de planos e o no cumprimento de prazos, Dano reputao, Violaes de requisitos legais, regulatrios ou contratuais. A parte referente a aceitao do risco prev uma anlise junto a empresa aonde at quando um prejuzo considervel aceitvel para o negcio, tendo em vista que a maioria das empresas se baseiam pelo valor do ativo para custear sua proteo ou mecanismos de segurana. Durante a elaborao do plano de aceitao so levadas em conta as seguintes diretrizes: Critrios para a aceitao do risco podem incluir mais de um limite, representando um nvel desejvel de risco, porm precaues podem ser tomadas por gestores seniores para aceitar riscos acima desse nvel desde que sob circunstncias definidas, Critrios para a aceitao do risco podem ser expressos como a razo entre o lucro estimado (ou outro benefcio ao negcio) e o risco estimado, Diferentes critrios para a aceitao do risco podem ser aplicados a diferentes classes de risco, por exemplo: riscos que podem resultar em no conformidade com regulamentaes ou leis podem no ser aceitos, enquanto riscos de alto impacto podero ser aceitos se isto for especificado como um requisito contratual, Critrios para a aceitao do risco podem incluir requisitos para um tratamento adicional futuro, por exemplo: um risco poder ser aceito se for aprovado e houver o compromisso de que aes para reduzi-lo a um nvel aceitvel sero tomadas dentro de um determinado perodo de tempo, Critrios de negcio, Aspectos legais e regulatrios, Operaes, Tecnologia, Finanas, Fatores sociais e humanitrios. No item 7.3 ser tratada a parte de definio do escopo e seus limites, aonde neste item prev que todos os ativos prioritrios sejam considerados na anlise e avalio do risco. No item e levado em conta que todas as informaes da empresa sejam coletadas para poder levar em conta a relevncia do mesmo ao ambiente onde ele opera dentro do processo de gesto de riscos de segurana da informao. Os seguintes itens devem ser levados em conta no momento que for realizado a construo desse escopo: Os objetivos estratgicos, polticas e estratgias da organizao, Processos de negcio, As funes e estrutura da organizao, Requisitos legais, regulatrios e contratuais aplicveis organizao, A poltica de segurana da informao da organizao, A abordagem da organizao gesto de riscos, Ativos de informao, Localidades em que a organizao se encontra e suas caractersticas geogrficas, Restries que afetam a organizao, Expectativas das partes interessadas, Ambiente sociocultural,Interfaces (ou seja: a troca de informao com o ambiente). No caso de excluso de itens do escopo dever ser justificada pela empresa.No item 7.4 fala da Organizao para gesto de riscos de segurana da informao, aonde a empresa dever seguir algumas responsabilidades para a implementao da gesto de riscos na empresa. Dentre elas esto esses itens: Desenvolvimento do processo de gesto de riscos de segurana da informao adequado organizao, Identificao e anlise das partes interessadas, Definio dos papis e responsabilidades de todas as partes, internas e externas organizao, Estabelecimento das relaes necessrias entre a organizao e as partes interessadas, das interfaces com as funes de alto nvel de gesto de riscos da organizao (por exemplo: a gesto de riscos operacionais), assim como das interfaces com outros projetos ou atividades relevantes, Definio de aladas para a tomada de decises, Especificao dos registros a serem mantidos. Porm convm que gestores apropriados aprovem esta organizao.