Metodología de evaluación de riesgos basada en procesos de negocios para iso 27001: 2013 [cerrado]

Navega tus respuestas
2

Estoy trabajando en una implementación de isms para iso 27001: 2013. Hasta ahora, independientemente de los enfoques de evaluación de riesgos, he utilizado los activos basados en la metodología que se centra en la evaluación del valor de los activos, las amenazas, la vulnerabilidad y los valores de estado de implementación de control para calcular el riesgo asociado con los activos subyacentes. Últimamente me he encontrado con un proceso de negocio basado en la evaluación de riesgos. He buscado en Google y he encontrado algunos sitios útiles, aunque no pude encontrar nada concreto en cuanto a la metodología de evaluación de riesgos que se pueda adoptar o las plantillas relevantes. se agradecerá enormemente la búsqueda de ayuda para encontrar una fórmula en el enfoque basado en procesos para la evaluación de riesgos o cualquier modelo de muestra. Gracias de antemano.

    
pregunta iSRC 06.04.2016 - 10:11
fuente

3 respuestas

1

Normalmente, el análisis de riesgos se basa en el proceso: usted pasa por los principales procesos comerciales con el cliente y luego, para cada proceso, debe encontrar activos relativos. Para cada activo, el impacto en los procesos de negocios debe definirse claramente en caso de interrupción de activos: sin impacto, bajo impacto, impacto medio, alto impacto y también resaltando las vulnerabilidades para cada activo. La importancia de un activo debe definirse de acuerdo con la importancia de los procesos de negocio y el impacto de este activo.

    
respondido por el Synchro 06.04.2016 - 10:29
fuente
1

Creo que mirar a GIAC sería un buen lugar. Puedes encontrar muchos ejemplos prácticos y casos de estudio.

metodologías prácticas-de evaluación de riesgos o Evaluación de riesgos cualitativa frente a cuantitativa

    
respondido por el Ijaz Ahmad Khan 06.04.2016 - 12:48
fuente
1

Usted tiene la posibilidad de abstraer los riesgos del proceso y la evaluación de los riesgos de sus activos. Mi definición de proceso sería "descripción de tareas comerciales (el proceso 1 sería algo así como la gestión del proceso de pedidos)"

Para este enfoque, tendría que sentarse con el propietario del proceso e identificar los riesgos que amenazan con evitar el resultado previsto del proceso. Los riesgos identificados pueden ser evaluados por probabilidad de ocurrencia e impacto. El propietario del proceso tendría que evaluar algo así:

  • probabilidad de ocurrencia
  • pérdida financiera si se produce un riesgo (en daños de hardware)
  • pérdida de reputación (si está interesado en ese tipo de cosas)
  • pérdida financiera debido a la violación de los contratos o la ley

Puede colocar una matriz típica para la evaluación cuantitativa del riesgo (un eje para la probabilidad de ocurrencia, uno para una combinación del impacto evaluado) y categorizar todos los riesgos sobre esa base. Esto le brindaría la flexibilidad de establecer una matriz por su cuenta (lo cual está bien para la ISO 27001: 2013) y cubrir los riesgos individuales que pueden ser definidos por las personas que realmente conocen mejor el proceso.

    
respondido por el sam 06.04.2016 - 17:26
fuente

Lea otras preguntas en las etiquetas

OAuth2 JWT Encryption para tokens con ámbitos a múltiples servidores de recursos Tengo internet en casa, ¿necesito saber quién visitó qué? ¿Posible? [cerrado]