Considere que, no que diz respeito ao processo avaliar e ger...

 Apenas complementando o comentario da colega tem-se:

4 - Gerenciado e Mensurável quando:

A avaliação e a gestão de risco são procedimentos padronizados. As exceções do processo de gestão de risco são relatadas à Diretoria de TI. A gestão de risco de TI é uma responsabilidade da Alta Direção. O risco é avaliado e mitigado no nível de projeto e também regularmente no nível de operação de TI. O comitê executivo é avisado das mudanças no ambiente de negócios e de TI que podem afetar consideravelmente os cenários de riscos relacionados a TI. A Diretoria é capaz de monitorar a posição do risco e tomar decisões fundamentadas no nível de exposição aceitável. Todos os riscos identificados têm um responsável definido, e o comitê executivo e a Diretoria de TI estabeleceram os níveis de risco que a organização irá tolerar. A área de TI desenvolveu indi- cadores padrão para avaliar riscos e definir taxas de riscos/retornos. A área de TI aloca recursos para um projeto de gestão de risco operacional a fim de reavaliar periodicamente os riscos. Um banco de dados de gestão de risco é estabelecido, e uma parte dos processos de gerenciamento de risco está começando a ser automatizada. A área de TI estuda estratégias de mitigação de riscos.

Os níveis são:

 0 Inexistente – Completa falta de um processo reconhecido. A empresa nem mesmo reconheceu que existe uma questão a ser trabalhada.

1 Inicial / Ad hoc – Existem evidências que a empresa reconheceu que existem questões e que precisam ser trabalhadas. No entanto, não existe processo padronizado; ao contrário, existem enfoques Ad Hoc que tendem a ser aplicados individualmente ou caso-a-caso. O enfoque geral de gerenciamento é desorganizado.

2 Repetível, porém Intuitivo – Os processos evoluíram para um estágio onde procedimentos similares são seguidos por diferentes pessoas fazendo a mesma tarefa. Não existe um treinamento formal ou uma comunicação dos procedimentos padronizados e a responsabilidade é deixado com o indivíduo. Há um alto grau de confiança no conhecimento dos indivíduos e conseqüentemente erros podem ocorrer.

3 Processo Definido – Procedimentos foram padronizados, documentados e comunicados através de treinamento. É mandatório que esses processos sejam seguidos; no entanto, possivelmente desvios não serão detectados. Os procedimentos não são sofisticados mas existe a formalização das práticas existentes.

4 Gerenciado e Mensurável – A gerencia monitora e mede a aderência aos procedimentos e adota ações onde os processos parecem não estar funcionando muito bem. Os processos estão debaixo de um constante aprimoramento e fornecem boas práticas. Automação e ferramentas são utilizadas de uma maneira limitada ou fragmentada.

5 Otimizado – Os processos foram refinados a um nível de boas práticas, baseado no resultado de um contínuo aprimoramento e modelagem da maturidade como outras organizações. TI é utilizada como um caminho integrado para automatizar o fluxo de trabalho, provendo ferramentas para aprimorar a qualidade e efetividade, tornando a organização rápida em adaptar-se.

Fonte: http://www.iso27000.com.br/index.php?option=com_content&view=article&id=76:anamatuseginf&catid=34:seginfartgeral&Itemid=53

DEUS abençoe quem estuda e merece!