Instantiation of the ISO 27005 Information Security Risk Management Process in Public Organizations
Abstract
The increase in cyberattacks has heightened interest in Information Security. One of the most important areas of security today is Risk Management, where the identification of vulnerabilities and risks stands out as an essential activity. In this context, ISO 27005 provides guidelines for this process, but there is a gap regarding how to instantiate it in a detailed and repeatable manner. This work presents a practical instantiation of this process in a public organization, based on Business Process Management (BPM), detailing essential activities and enabling its replication by other interested organizations. The results show that the use of BPM facilitated implementation and helped highlight often underestimated activities, such as context definition and risk acceptance, enhancing Information Security risk management.References
OECD (2021). The E-Leaders Handbook on the Governance of Digital Government. OECD Publishing. Disponível em: [link].
Dantas, D. (2024, julho 24). Incidentes cibernéticos em sistemas do governo dobram no primeiro semestre de 2024. G1. Recuperado em 04 de janeiro de 2025, de [link]
International Organization for Standardization (2022). ISO/IEC 27005:2022 — Information security risk management. Recuperado em 04 de janeiro de 2025, de [link].
Grefen, P. and Vanderfeesten, I. (Eds.) (2024) Handbook on Business Process Management and Digital Transformation, Research Handbooks in Information Systems, Edward Elgar Publishing, ISBN: 978-1-80220-608-1, 450 pp.
Object Management Group (OMG) (2011). Business Process Model and Notation (BPMN), Version 2.0. OMG Specification, formal/2011-01-03. Available at: [link]
Furlan, L. and Pacheco, A. (2021). “Gestão de risco: Estudo de caso sobre os desafios na implantação e na implementação”. Revista Ibero-Americana de Estratégia, 20(1), 1–23.
Silva, J. (2017). “Diretrizes Estratégicas de Gestão de Riscos de Segurança da Informação para Instituições Federais de Ensino Superior”. Dissertação de Mestrado, Universidade Federal de Pernambuco, Brasil. Disponível em: [link] (último acesso: 22 fev. 2024).
Konzen, M. P. (2013). “Gestão de riscos de segurança da informação baseada na norma NBR ISO/IEC 27005 usando padrões de segurança”. Dissertação de Mestrado, Universidade Federal de Santa Maria. Disponível em: [link].
Balke, M. (2015). “Abordagem colaborativa para gerenciamento de riscos de segurança da informação”. Dissertação de Mestrado, Universidade Federal de Santa Maria. Disponível em: [link].
Santos, V. O. and Baldini Filho, R. (2013). “Um modelo de sistema de gestão da segurança da informação baseado nas normas ABNT NBR ISO/IEC 27001:2006, 27002:2005 e 27005:2008”. Revista Telecomunicações, 15(1). Disponível em: [link].
Channel PMO (n.d.). Channel PMO. Recuperado em 04 de janeiro de 2025, de [link].
International Organization for Standardization (2018). ISO 31000:2018 — Risk management — Guidelines. Recuperado em 04 de janeiro de 2025, de [link].
Dantas, D. (2024, julho 24). Incidentes cibernéticos em sistemas do governo dobram no primeiro semestre de 2024. G1. Recuperado em 04 de janeiro de 2025, de [link]
International Organization for Standardization (2022). ISO/IEC 27005:2022 — Information security risk management. Recuperado em 04 de janeiro de 2025, de [link].
Grefen, P. and Vanderfeesten, I. (Eds.) (2024) Handbook on Business Process Management and Digital Transformation, Research Handbooks in Information Systems, Edward Elgar Publishing, ISBN: 978-1-80220-608-1, 450 pp.
Object Management Group (OMG) (2011). Business Process Model and Notation (BPMN), Version 2.0. OMG Specification, formal/2011-01-03. Available at: [link]
Furlan, L. and Pacheco, A. (2021). “Gestão de risco: Estudo de caso sobre os desafios na implantação e na implementação”. Revista Ibero-Americana de Estratégia, 20(1), 1–23.
Silva, J. (2017). “Diretrizes Estratégicas de Gestão de Riscos de Segurança da Informação para Instituições Federais de Ensino Superior”. Dissertação de Mestrado, Universidade Federal de Pernambuco, Brasil. Disponível em: [link] (último acesso: 22 fev. 2024).
Konzen, M. P. (2013). “Gestão de riscos de segurança da informação baseada na norma NBR ISO/IEC 27005 usando padrões de segurança”. Dissertação de Mestrado, Universidade Federal de Santa Maria. Disponível em: [link].
Balke, M. (2015). “Abordagem colaborativa para gerenciamento de riscos de segurança da informação”. Dissertação de Mestrado, Universidade Federal de Santa Maria. Disponível em: [link].
Santos, V. O. and Baldini Filho, R. (2013). “Um modelo de sistema de gestão da segurança da informação baseado nas normas ABNT NBR ISO/IEC 27001:2006, 27002:2005 e 27005:2008”. Revista Telecomunicações, 15(1). Disponível em: [link].
Channel PMO (n.d.). Channel PMO. Recuperado em 04 de janeiro de 2025, de [link].
International Organization for Standardization (2018). ISO 31000:2018 — Risk management — Guidelines. Recuperado em 04 de janeiro de 2025, de [link].
Published
2025-07-20
How to Cite
VASCONCELOS, Vinícius N.; LINS, Fernando A. A.; VALENÇA, George; LOSSE, Maria A. P. F.; MORAIS, Ana C. C. M.; SOUSA, Edgard T..
Instantiation of the ISO 27005 Information Security Risk Management Process in Public Organizations. In: LATIN AMERICAN SYMPOSIUM ON DIGITAL GOVERNMENT (LASDIGOV), 12. , 2025, Maceió/AL.
Anais [...].
Porto Alegre: Sociedade Brasileira de Computação,
2025
.
p. 181-192.
ISSN 2763-8723.
DOI: https://doi.org/10.5753/lasdigov.2025.9023.
