Primero, debe saber que la familia de estándares ISO27000 no es específica sobre TI. Dependiendo del alcance que defina al principio, su análisis de riesgo también podría cubrir varias actividades de su empresa. Por supuesto, como la atención se centra en la administración de la seguridad de su información, existen muchos controles recomendados que se refieren a TI.
Dicho esto, la norma dice que debe realizar un análisis de riesgo en sus activos, pero dice muy poco sobre cómo debe hacerlo. La metodología es algo que eres libre de definirte. La mayoría de las veces, no querrá reinventar la rueda y usar alguna metodología conocida, pero la elección es suya. Por lo general, se trata de identificar sus activos y su valor para usted, luego las diversas amenazas a estos activos y las vulnerabilidades que estas amenazas podrían explotar.
Por lo tanto, realmente no puede comparar el análisis de riesgos realizado en el proceso de establecer su SGSI (según ISO27001) con un tipo particular de análisis de riesgos. Si lo desea, es como si preguntara cuál es la diferencia entre construir una pared y una mampostería de ladrillo.
Sin embargo, lo que
dice de manera estándar es que su análisis de riesgo debe ser reproducible, por lo que debería dar los mismos resultados si se realiza, por ejemplo, por dos personas diferentes. En ese sentido, cuanto más precisa sea su metodología, mejor.