Avaliação de riscos
O que é Avaliação de riscos?
Avaliação de riscosAtividade estruturada da gestão de riscos que identifica ameaças, vulnerabilidades e impactos sobre ativos específicos e classifica o risco para apoiar decisões de tratamento.
Uma avaliação de riscos combina identificação, análise e avaliação do risco para um âmbito definido, como um sistema, processo de negócio, fornecedor ou novo projeto. Os avaliadores recolhem informação sobre ameaças, mapeiam vulnerabilidades, estimam probabilidade e impacto no negócio e produzem uma lista priorizada de riscos segundo os critérios da organização. Os métodos vão dos mapas de calor qualitativos a técnicas quantitativas como FAIR ou Monte Carlo, alimentando o registo de riscos e os planos de tratamento. É também exigência regulatória em referenciais como NIST SP 800-30, ISO/IEC 27005, AIPD do RGPD ou HIPAA Security Rule.
● Exemplos
- 01
Avaliação ao estilo NIST SP 800-30 para uma nova plataforma SaaS de processamento salarial.
- 02
Avaliação anual ISO 27005 que sustenta a auditoria de certificação ISO 27001.
● Perguntas frequentes
O que é Avaliação de riscos?
Atividade estruturada da gestão de riscos que identifica ameaças, vulnerabilidades e impactos sobre ativos específicos e classifica o risco para apoiar decisões de tratamento. Pertence à categoria Conformidade e frameworks da cibersegurança.
O que significa Avaliação de riscos?
Atividade estruturada da gestão de riscos que identifica ameaças, vulnerabilidades e impactos sobre ativos específicos e classifica o risco para apoiar decisões de tratamento.
Como se defender contra Avaliação de riscos?
As defesas contra Avaliação de riscos costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Avaliação de riscos?
Nomes alternativos comuns: Análise de riscos, Avaliação de ciber-risco.