mostrar texto associado esconder texto associado Os riscos de segurança da informação identificados no âmbito da organização deverão ser analisados quanto às possíveis opções de tratamento: mitigação ou redução; aceitação; eliminação ou contorno; e transferência. Entre as quatro alternativas de tratamento, a que apresenta maior demanda por implantação de controles é a mitigação ou redução. Os riscos aceitos são os de menor nível ou que atendam a critérios de avaliação previamente definidos.

mostrar texto associado esconder texto associado Todo evento de segurança da informação identificado no âmbito da organização corresponderá a uma ou mais violações da política de segurança da informação da organização.

mostrar texto associado esconder texto associado A política corporativa de segurança da informação deverá ser elaborada somente após o estabelecimento das políticas de segurança no desenvolvimento de software e de segurança em operações de TI.

mostrar texto associado esconder texto associado A organização deverá estabelecer um programa avançado de treinamento técnico em segurança da informação para todos os seus empregados relacionados com a prestação de atividades-fim relacionadas ao seu negócio.

mostrar texto associado esconder texto associado O estabelecimento de controles visando a proteção aos dados privados tratados no âmbito dessa organização deve ser prioritário frente aos controles que visam a garantia da continuidade dos negócios da organização.