-
CERTO. Com o trecho abaixo da norma, dá para matar a questão.
Segundo a ISO 27005,"8.2.2.4 Estimativa do nível de risco
Entrada: Uma lista de cenários de incidentes com suas conseqüências associadas aos ativos, processos de negócio e suas probabilidades (no método quantitativo ou no qualitativo).
Ação: Convém que o nível de risco seja estimado para todos os cenários de incidentes considerados relevantes (refere-se à ABNT NBR ISO/IEC 27001, Seção 4.2.1 e) 4)).
Diretrizes para implementação:
A estimativa de riscos designa valores para a probabilidade e para as conseqüências de um risco. Esses valores podem ser de natureza quantitativa ou qualitativa. A estimativa de riscos é baseada nas conseqüências e na probabilidade estimadas. Além disso, ela pode considerar o custo-benefício, as preocupações das partes interessadas e outras variáveis, conforme apropriado para a avaliação de riscos. O risco estimado é uma combinação entre a probabilidade de um cenário de incidente e suas conseqüências."
-
Só por curiosidade agora isso ocorre dentro da atividade análise de riscos, e não na estimativa de riscos.(NÃO existe mais diretamente a atividade de estimativa)
Segundo a ISO 27005:2011,"8.3.4 Determinação do nível de risco
Entrada: Uma lista de cenários de incidentes com suas consequências associadas aos ativos, processos de negócio e suas probabilidades (no método quantitativo ou no qualitativo).
Ação: Convém que o nível de risco seja estimado para todos os cenários de incidentes considerados relevantes (refere-se à ABNT NBR ISO/IEC 27001:2006, Seção 4.2.1 e) 4)).
Diretrizes para implementação:
A análise de riscos designa valores para a probabilidade e para as consequências de um risco. Esses valores podem ser de natureza quantitativa ou qualitativa. A análise de riscos é baseada nas consequências e na probabilidade estimadas. Além disso, ela pode considerar o custo-benefício, as preocupações das partes interessadas e outras variáveis, conforme apropriado para a avaliação de riscos. O risco estimado é uma combinação da probabilidade de um cenário de incidente e suas consequências."
-
Assertiva CORRETA.
A pegadinha está em "todos os cenários de incidentes relevantes", o que está correto. Se fosse em todos os cenários (relevantes ou não), isso estaria errado. Portanto, assertiva correta.
-
"Essa estimativa serve para designar valores qualitativos ou quantitativos para a probabilidade e para as consequências do risco."
Isso não seria o contrário? A estimativa da probabilidade e da consequência é que serve para designar o valor para o nível de risco.