Questões sobre Normas ISO/IEC - International Organization for Standardization/International Electrotechnical Commission

a pessoa designada para gerenciar todo o processo de risco de uma organização deve possuir experiência mínima de três anos em gestão de risco e ser do corpo gerencial da organização.

a organização deve identificar os proprietários dos riscos que têm a responsabilidade e a autoridade para gerenciá-los.

a publicação de uma política de gestão de risco é obrigatória, sendo que a mesma deve ser assinada pela maior autoridade da organização.

os estudos de riscos serão coordenados pela organização e deles deverão participar dois representantes da comunidade, caso a comunidade vizinha possa ser afetada pelos riscos gerados pela organização.

os planos de ação para a eliminação e controle dos riscos devem ser reavaliados, obrigatoriamente a cada dois anos.

I e II

II e III

III e IV

I, II e IV

I, III e IV

seja apropriada à natureza, à escala e aos impactos ambientais de suas atividades, produtos e serviços.

seja assinada pela alta administração da organização.

inclua um comprometimento com a melhoria contínua e com a prevenção de poluição.

inclua um comprometimento em atender aos requisitos legais aplicáveis e outros requisitos subscritos pela organização que se relacionem a seus aspectos ambientais.

forneça uma estrutura para estabelecimento e análise dos objetivos e metas ambientais.

Risk acceptance.

Continual monitoring and reviewing of risks.

Implementation of risk treatment plan.

Maintain and improve the Information Security Risk Management Process.

Developing risk treatment plan.

Aos terceiros que realizam serviços de suporte, convém que seja concedido acesso restrito às áreas seguras ou às instalações de processamento da informação sensível somente quando necessário; este acesso deve ser autorizado e monitorado.

Convém que o acesso às áreas em que são processadas ou armazenadas informações sensíveis seja controlado e restrito às pessoas autorizadas; convém que sejam utilizados controles de autenticação, por exemplo, cartão de controle de acesso mais PIN (personal identification number), para autorizar e validar todos os acessos; deve ser mantido de forma segura um registro de todos os acessos para fins de auditoria.

É conveniente que seja exigido que todos os funcionários, fornecedores e terceiros, e todos os visitantes, tenham alguma forma visível de identificação, e eles devem avisar imediatamente o pessoal de segurança caso encontrem visitantes não acompanhados ou qualquer pessoa que não esteja usando uma identificação visível.

A data da entrada e saída de visitantes deve ser registrada, e todos os visitantes devem ser supervisionados, mesmo que o seu acesso tenha sido previamente aprovado; convém que as permissões de acesso sejam concedidas para todas as finalidades, e sejam emitidas somente com instruções sobre procedimentos de emergência.

Convém que os direitos de acesso a áreas seguras sejam revistos e atualizados em intervalos regulares, e revogados quando necessário.