-
ERRADO. Essa é difícil!
Segundo a ISO 27001,"
4.2.2 Implementar e operar o SGSI
A organização deve:
b) Implementar o plano de tratamento de riscos para alcançar os objetivos de controle identificados, que inclua considerações de financiamentos e atribuição de papéis e responsabilidades."
**Dei um grande espaço acima para que percebam que são coisas separadas, e que na questão o examinador uniu as informações. =]
-
O plano de tratamento de riscos sozinho NÃO garante o atendimento dos objetivos de controle identificados.
Os controles precisam ser implementados e depois a eficácia precisa ser medida.
Segundo NBR/ISO 27001:2006 "A medição da eficácia dos controles permite aos gestores e à equipe determinar o quanto os controles alcançam de forma satisfatória os objetivos de controle planejados."
-
Errado.
Olhe uma questão parecida.
Ano: 2014
Banca: CESPE
Órgão: TJ-SE
Prova: Analista Judiciário - Análise de Sistemas
Com base nas normas ABNT NBR ISO/IEC n.º 27001:2006 e n.º 27002:2005, julgue os itens a seguir, relativos à gestão de segurança da informação.
Para alcançar os objetivos de controle identificados, faz parte da etapa Do do modelo PDCA implementar o plano de tratamento de riscos que inclua as considerações de financiamentos e a atribuição de papéis e responsabilidades.
Certo
-
Ah sim, o plano de tratamento de riscos garante a implementação dos controles, mas não dos objetivos de controle, que são algo muito mais abrangente...