Norma ISO/IEC 27005:2008

abordam aspetos introdutórios e informativos, como uma introdução à segurança de informação em saúde, o objetivo da norma, termos e referências normativas de saúde, informações de segurança e definições e uma ampla discussão sobre o plano de ação para implementar a norma ISO/IEC 27002. A maior parte da norma é feita na Seção 7, que abrange os domínios/cláusulas de segurança, secções, objetivos de controlo e controlos da norma a figura 24 apresenta uma comparação com a norma ISO/IEC 27002 relativamente ao número de domínios/cláusulas, secções e controlos. A última parte da norma compreende três anexos e uma bibliografia. É importante notar que a norma ISO/IEC 27799 incorpora aspetos da norma ISO/IEC 27001 na sua Seção 6, que discute um plano de ação para implementar a norma ISO/IEC 27002 [62][67].

figura 24: - Normas, ISO/IEC 27002 versus ISO/IEC 27799 [62]. (domínios/cláusulas, secções e controlos)

Nas organizações de saúde, devido ao grande incremento que se tem verificado na troca de informação de saúde dos pacientes, de forma eletrônica entre profissionais desta área, existe a necessidade e benefícios em adotar uma referência comum para a gestão da informação produzida e tratada nestas organizações. A norma internacional ISO 27799:2008 baseia-se na experiência obtida em esforços nacionais e internacionais, em lidar com a segurança de informação pessoal de saúde, e é um documento associado à norma ISO/IEC 27002:2005. Em conclusão, esta norma aplica a norma ISO/IEC 27002:2005 no domínio da área de saúde de forma a considerar cuidadosamente a aplicação apropriada de controlos de segurança obrigatórios e ou adicionais, para assegurar os propósitos de proteção de informação pessoal de saúde [64].

4.5.5 Norma ISO/IEC 27005:2008

Em 2009 foi lançada pela ISO a norma ISO/IEC 31010:2009 Risk management – Risk assessment techniques (traduzido seria, Gestão de Riscos – Técnicas de avaliação de riscos) e deve ser trabalhada em apoio à norma ISO/IEC 31000:2009 Gestão de Riscos –

66 Principio e Diretrizes. A norma descreve as diversas técnicas e ferramentas de análise de risco. Este grupo de normas da família ISO/IEC 31000 tem por objetivo dar repostas ou proporcionar, uma conceção ampla e genérica da gestão de risco de qualquer tipo de ambiente de uma organização, permite avaliar e tratar qualquer tipo de risco corporativo. Durante o desenvolvimento da família de normas ISO/IEC 31000, foi publicada em 2008, pelo grupo de trabalho específico de tecnologias da informação a norma ISO/IEC 27005:2008 Tecnologias da Informação – Técnicas de Segurança – Gestão de Riscos de Segurança da Informação. Esta norma foi desenvolvida com base nos estudos da norma ISO/IEC 31000, portanto integra os seus requisitos e processos de gestão de risco. A ISO/IEC 27005 faz parte da família de normas ISO/IEC 27000 sobre o Sistema de Gestão de Segurança da Informação (SGSI), onde estão incluídas as normas ISO/IEC 27001 e ISO/IEC 27002 e ISO/IEC 27799. Apresenta as melhores práticas e possibilita o aprofundamento em aspetos exclusivos da segurança da informação, enquanto a ISO/IEC 31010:2009 é mais genérica e contempla todos os sectores [68].

A norma ISO/IEC 27005:2008 fornece as diretrizes para a gestão de risco de segurança da informação. Esta norma suporta os conceitos gerais descritos na ISO/IEC 27001 e foi concebida para facilitar a implementação de forma satisfatória da segurança da informação tendo como base a abordagem da gestão de risco. O conhecimento dos conceitos, modelos, processos e terminologias descritos na norma ISO/IEC 27001, ISO/IEC 27002 e ISO/IEC 27799 são importantes para uma completa compreensão desta Norma. Ela é aplicável a todos os tipos de organizações (por exemplo, empresas comerciais, agências governamentais, organizações sem fins lucrativos) que pretendem gerir os riscos que podem comprometer a segurança da informação da organização.

Uma visão geral do processo de gestão de riscos da segurança da informação é descrita na secção 6 da norma, conforme esquema representado na figura 27 (capítulo 5, secção 5.2 deste documento). As actividades de gestão de riscos de segurança da informação, apresentadas na secção 6 da norma, são descritas nas seguintes secções da mesma [51]:

o Definição do contexto (secção 7 da norma):  Considerações gerais;

 Critérios básicos;  Objetivo e limites;

67 o Análise/Avaliação de risco (secção 8 da norma):

 Descrição geral do processo de análise/avaliação17 _{de riscos de segurança}

da informação;  Análise de riscos;  Avaliação de riscos.

o Tratamento do Riscos (secção 9 da norma):

 Descrição geral do processo de tratamento do risco de segurança da informação (exemplificado na figura 28);

 Redução do risco;  Retenção do risco;

 Evitar (ação de evitar) o Risco;  Transferir o risco;

o Aceitação de risco (secção 10 da norma), o Comunicação do risco (secção 11 da norma),

o Monitorização e análise crítica do risco (secção12 da norma).  Monitorização e análise crítica dos fatores de risco;

 Monitorização e análise crítica e melhoria do processo de gestão de risco.

o As informações adicionais para as atividades de gestão de risco de segurança da informação estão apresentadas nos anexos da norma.

Uma abordagem sistemática de gestão de riscos de segurança da informação é necessária para identificar as necessidades da organização em relação aos requisitos de segurança da informação e para criar um sistema de gestão de segurança da informação (SGSI) que seja eficaz. A norma recomenda que a abordagem seja adequada ao ambiente da organização e em particular esteja alinhada com o processo maior de gestão de riscos corporativos.

A norma recomenda que a gestão de risco de segurança da informação seja um processo contínuo, em que esteja definido o contexto, a avaliação e tratamento dos riscos, usando um plano de tratamento que permita implementar as recomendações e decisões. Recomenda também que a gestão de riscos analise os possíveis acontecimentos e suas consequências, antes de decidir o que será feito, com a finalidade de reduzir os riscos a um nível aceitável [51].

17 _{De acordo com a norma ISO 27005:2008, cabe à organização selecionar o seu próprio método para a} análise/avaliação de riscos baseado nos objetivos e nas metas definidas.

68 A norma ISO/IEC 27001 determina que os controlos implementados no objetivo, limites e contexto do SGSI devem ser baseados no risco. A aplicação de um processo de gestão de riscos de segurança da informação pode satisfazer este requisito. Existem vários métodos através dos quais o processo pode ser implementado com sucesso numa organização. No entanto convêm que a organização use o método que melhor se adeque as suas necessidades e circunstancias, para cada aplicação específica do processo [8][51].

Num SGSI, a definição do contexto, a análise/avaliação de riscos, o desenvolvimento do plano de tratamento de risco e a aceitação do risco, fazem parte da fase “Plan - Planificação”. Na fase “Do - Implementação” do SGSI, as ações e controlos necessários para reduzir os riscos para um nível aceitável são implementados de acordo com o plano de tratamento do risco definido na fase anterior. Na fase “Check – Monitorização e análise crítica”, os gestores determinam a necessidade de revisão da avaliação e tratamento do risco à luz dos incidentes e mudanças nas circunstâncias. Na fase “Act – Manutenção e melhoria”, as ações necessárias são executadas, incluindo a reaplicação do processo de gestão de riscos de segurança da informação. A figura 25 resume, os processos e actividades de gestão de riscos de segurança da informação, alinhados com as quatro fases do processo de SGSI definidos pela ISO/IEC 27001 [8][51].

figura 25: - Processos de Gestão de Riscos de Segurança da Informação alinhados com as quatro fases do processo de SGSI.

A norma ISO/IEC 27005 apresenta as boas práticas para a gestão de riscos da segurança da informação, e as técnicas que descreve seguem o conceito, os modelos e os processos globais especificados na norma ISO/IEC 27001, para além de apresentar a metodologia de avaliação e tratamento dos riscos requeridos pela mesma norma, esta norma, acaba por descrever todo o processo e actividades necessárias para uma perfeita execução e realização da gestão de riscos da segurança da informação, que pode ser adotada por qualquer organização [68].

69