SóProvas

ID
1176058
Banca
CESPE / CEBRASPE
Órgão
TC-DF
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os próximos itens referentes à gestão de segurança da informação e à gestão de riscos e continuidade de negócio.

Conforme a norma ISO/IEC 27005, é recomendável que o nível de risco seja estimado em todos os cenários de incidentes relevantes. Essa estimativa serve para designar valores qualitativos ou quantitativos para a probabilidade e para as consequências do risco.

Alternativas
Comentários

  • CERTO. Com o trecho abaixo da norma, dá para matar a questão.

    Segundo a ISO 27005,"8.2.2.4 Estimativa do nível de risco

    Entrada: Uma lista de cenários de incidentes com suas conseqüências associadas aos ativos, processos de negócio e suas probabilidades (no método quantitativo ou no qualitativo).

    Ação: Convém que o nível de risco seja estimado para todos os cenários de incidentes considerados relevantes (refere-se à ABNT NBR ISO/IEC 27001, Seção 4.2.1 e) 4)).

    Diretrizes para implementação:

    A estimativa de riscos designa valores para a probabilidade e para as conseqüências de um risco. Esses valores podem ser de natureza quantitativa ou qualitativa. A estimativa de riscos é baseada nas conseqüências e na probabilidade estimadas. Além disso, ela pode considerar o custo-benefício, as preocupações das partes interessadas e outras variáveis, conforme apropriado para a avaliação de riscos. O risco estimado é uma combinação entre a probabilidade de um cenário de incidente e suas conseqüências."


  • Só por curiosidade agora isso ocorre dentro da atividade análise de riscos, e não na estimativa de riscos.(NÃO existe mais diretamente a atividade de estimativa)

    Segundo a ISO 27005:2011,"8.3.4 Determinação do nível de risco
    Entrada: Uma lista de cenários de incidentes com suas consequências associadas aos ativos, processos de negócio e suas probabilidades (no método quantitativo ou no qualitativo).
    Ação: Convém que o nível de risco seja estimado para todos os cenários de incidentes considerados relevantes (refere-se à ABNT NBR ISO/IEC 27001:2006, Seção 4.2.1 e) 4)).
    Diretrizes para implementação:
    A análise de riscos designa valores para a probabilidade e para as consequências de um risco. Esses valores podem ser de natureza quantitativa ou qualitativa. A análise de riscos é baseada nas consequências e na probabilidade estimadas. Além disso, ela pode considerar o custo-benefício, as preocupações das partes interessadas e outras variáveis, conforme apropriado para a avaliação de riscos. O risco estimado é uma combinação da probabilidade de um cenário de incidente e suas consequências."

  • Assertiva CORRETA. 

     

    A pegadinha está em "todos os cenários de incidentes relevantes", o que está correto. Se fosse em todos os cenários (relevantes ou não), isso estaria errado. Portanto, assertiva correta. 

  • "Essa estimativa serve para designar valores qualitativos ou quantitativos para a probabilidade e para as consequências do risco."

    Isso não seria o contrário? A estimativa da probabilidade e da consequência é que serve para designar o valor para o nível de risco.