Eu vou conduzir avaliação de risco de segurança ISO

O pacote básico é entender a estrutura, operações, design de dados, necessidades da organização e coletar informações para desenvolver o escopo da avaliação de risco de segurança, seja para a linha de base ou uma avaliação completa de risco de segurança. O pacote básico não incluirá nenhum relatório de avaliação de risco de segurança.

A avaliação de risco de segurança determina o risco com base na ameaça, vulnerabilidade e impacto, e os objetivos são identificar o risco, avaliar o risco e priorizar o risco.

1) A avaliação de risco está no centro da conformidade com o ISO. Ela identifica, avalia e estabelece a existência de controles de segurança específicos. 2) A auditoria de risco testa esses controles de segurança específicos, é mais complexa e pode focar em objetivos específicos de uma organização, como certificação ISO, etc.

1) Desenvolver o Escopo da Avaliação de Risco de Segurança (comunicar com as partes interessadas para entender a estrutura, operações, design de dados, necessidades da organização e coletar informações para definir os controles de segurança ISO/IEC). 2) Executar o Exercício de Avaliação de Risco (realizar a avaliação de risco e avaliar o impacto do risco).

1) Requisitos de controle de padrões internacionais relevantes (ISO ou NIST). 2) Observações do avaliador sobre a postura de segurança existente da organização. 3) Recomendações do avaliador para implementação de controles de segurança. 4) Impacto do risco nos negócios da organização. 5) Classificação do risco (baixo a crítico, etc.).