Avaliação de riscos
O que é Avaliação de riscos?
Avaliação de riscosAtividade estruturada da gestão de riscos que identifica ameaças, vulnerabilidades e impactos sobre ativos específicos e classifica o risco para apoiar decisões de tratamento.
Uma avaliação de riscos combina identificação, análise e avaliação do risco para um âmbito definido, como um sistema, processo de negócio, fornecedor ou novo projeto. Os avaliadores recolhem informação sobre ameaças, mapeiam vulnerabilidades, estimam probabilidade e impacto no negócio e produzem uma lista priorizada de riscos segundo os critérios da organização. Os métodos vão dos mapas de calor qualitativos a técnicas quantitativas como FAIR ou Monte Carlo, alimentando o registo de riscos e os planos de tratamento. É também exigência regulatória em referenciais como NIST SP 800-30, ISO/IEC 27005, AIPD do RGPD ou HIPAA Security Rule.
● Exemplos
- 01
Avaliação ao estilo NIST SP 800-30 para uma nova plataforma SaaS de processamento salarial.
- 02
Avaliação anual ISO 27005 que sustenta a auditoria de certificação ISO 27001.
● Perguntas frequentes
O que é Avaliação de riscos?
Atividade estruturada da gestão de riscos que identifica ameaças, vulnerabilidades e impactos sobre ativos específicos e classifica o risco para apoiar decisões de tratamento. Pertence à categoria Conformidade e frameworks da cibersegurança.
O que significa Avaliação de riscos?
Atividade estruturada da gestão de riscos que identifica ameaças, vulnerabilidades e impactos sobre ativos específicos e classifica o risco para apoiar decisões de tratamento.
Como funciona Avaliação de riscos?
Uma avaliação de riscos combina identificação, análise e avaliação do risco para um âmbito definido, como um sistema, processo de negócio, fornecedor ou novo projeto. Os avaliadores recolhem informação sobre ameaças, mapeiam vulnerabilidades, estimam probabilidade e impacto no negócio e produzem uma lista priorizada de riscos segundo os critérios da organização. Os métodos vão dos mapas de calor qualitativos a técnicas quantitativas como FAIR ou Monte Carlo, alimentando o registo de riscos e os planos de tratamento. É também exigência regulatória em referenciais como NIST SP 800-30, ISO/IEC 27005, AIPD do RGPD ou HIPAA Security Rule.
Como se defender contra Avaliação de riscos?
As defesas contra Avaliação de riscos costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Avaliação de riscos?
Nomes alternativos comuns: Análise de riscos, Avaliação de ciber-risco.
● Termos relacionados
- compliance№ 936
Gestão de riscos
Processo coordenado de identificar, analisar, avaliar, tratar, monitorizar e comunicar riscos para mantê-los dentro da tolerância definida pela organização.
- compliance№ 937
Registo de riscos
Inventário vivo dos riscos identificados com descrição, responsável, pontuações, tratamento e estado, usado para acompanhar a exposição da organização ao longo do tempo.
- compliance№ 888
Análise qualitativa de riscos
Abordagem de análise que classifica probabilidade e impacto usando escalas descritivas (baixo/médio/alto ou 1-5) em vez de valores monetários ou probabilísticos.
- compliance№ 889
Análise quantitativa de riscos
Abordagem que exprime probabilidade e impacto em números, normalmente como probabilidades e distribuições de perda monetária, para sustentar decisões orientadas por dados.
- compliance№ 282
Avaliação de Impacto sobre a Proteção de Dados (DPIA)
Avaliação estruturada, exigida pelo artigo 35 do RGPD, que identifica e mitiga riscos para os direitos e liberdades das pessoas antes do início de um tratamento de alto risco.
- appsec№ 1150
Modelagem de ameaças
Análise estruturada que identifica os ativos, ameaças, vulnerabilidades e mitigações de um sistema para integrar a segurança desde o desenho.