Una vez que la exposición al riesgo de cada activo de información ha sido estimada, la empresa debe establecer sus criterios para realizar la “evaluación del riesgo” y así determinar la importancia del riesgo en base a su significado para la empresa. Al analizar y evaluar el nivel de riesgo al cual están sujetos los activos de información se debe decidir que acciones tomar para mitigar el riesgo, y así poder demostrar a terceros que el riesgo se tiene dentro de criterios de aceptación, identificados por la gerencia. La cláusula 4.2.1 (c) (2) es muy puntual al respecto. Dicho requerimiento, menciona: “la gerencia debe desarrollar los criterios para aceptar los riesgos e identificar los niveles de riesgo aceptables”. (ISO/IEC 27001:2005) La gerencia en todos los aspectos juega un rol protagónico en el estándar SGSI.
Av. Del Pinar # 134, Edificio El Pinar II, Ofic. 803, Chacarilla del Estanque,Santiago de Surco, Lima, Perú Tlf: (511) 372 1441 / 372 1415 fax (511) 436 6144
Alojamiento web por ideasmultiples.com
