Visão Geral

O curso ISO 27005 Risk Management tem como objetivo capacitar profissionais na identificação, análise, avaliação e tratamento de riscos relacionados à Segurança da Informação, com base na norma ISO/IEC 27005. O treinamento aborda metodologias e boas práticas para gestão de riscos em ambientes corporativos, integrando-se ao Sistema de Gestão de Segurança da Informação (SGSI) baseado na ISO/IEC 27001.

Objetivo

Após realizar este curso ISO 27005 Risk Management, você será capaz de:

• Compreender os princípios da gestão de riscos em segurança da informação
• Aplicar o processo de gestão de riscos conforme ISO/IEC 27005
• Identificar, analisar e avaliar riscos de forma estruturada
• Definir e implementar planos de tratamento de riscos
• Integrar a gestão de riscos ao SGSI
• Apoiar a tomada de decisão baseada em riscos
• Monitorar e revisar riscos continuamente

Publico Alvo

• Profissionais de Segurança da Informação
• Analistas e gestores de risco
• Consultores de TI e compliance
• Profissionais envolvidos com governança e continuidade de negócios
• Auditores e implementadores de SGSI

Pre-Requisitos

• Conhecimentos básicos em Segurança da Informação
• Familiaridade com a norma ISO/IEC 27001 (recomendado)
• Noções de processos organizacionais

Conteúdo Programatico

Module 1 – Introduction to Information Security Risk Management

1. Overview of ISO/IEC 27005 standard
2. Relationship between ISO 27005 and ISO 27001
3. Risk management concepts and terminology
4. Principles of information security risk management
5. Risk management frameworks and approaches

Module 2 – Context Establishment

1. Defining the scope and boundaries
2. Identifying assets and asset owners
3. Business environment and organizational context
4. Legal, regulatory, and contractual requirements
5. Risk criteria definition

Module 3 – Risk Identification

1. Asset-based risk identification
2. Threat identification techniques
3. Vulnerability identification
4. Existing controls analysis
5. Risk scenarios development

Module 4 – Risk Analysis

1. Qualitative vs quantitative analysis
2. Likelihood and impact assessment
3. Risk level determination
4. Risk matrices and scoring models
5. Documentation of analysis results

Module 5 – Risk Evaluation

1. Comparing risks against risk criteria
2. Risk prioritization
3. Decision-making for risk treatment
4. Acceptable vs unacceptable risks

Module 6 – Risk Treatment

1. Risk treatment options (avoid, reduce, transfer, accept)
2. Selection of security controls
3. Risk treatment plan development
4. Residual risk evaluation
5. Alignment with Annex A controls

Module 7 – Risk Communication and Consultation

1. Stakeholder communication strategies
2. Reporting risk information
3. Supporting decision-making processes
4. Risk awareness and culture

Module 8 – Risk Monitoring and Review

1. Continuous monitoring techniques
2. Risk review processes
3. Key risk indicators (KRIs)
4. Improvement of risk management process
5. Integration with ISMS lifecycle