-
Errado. É com base na análise/avaliação de riscos que se escolhe os controles (medidas) necessários a manter a gestão de riscos assegurada em um organização. Ou seja, a seleção dos controles não é uma pré-requisito para a análise de riscos.
Bons estudos.
-
ERRADO.
Segundo a ISO 27002,"4 Análise/avaliação e tratamento de riscos
Os controles podem ser selecionados desta Norma ou de outros conjuntos de controles, ou novos controles podem ser considerados para atender às necessidades específicas da organização. É importante reconhecer que alguns controles podem não ser aplicáveis a todos os sistemas de informação ou ambientes, e podem não ser praticáveis para todas as organizações."
**Portanto, se alguns controles podem ser desnecessários ou inaplicáveis a uma organização, logo NEM TODOS os controles existentes são implementados em um determinado ambiente tecnológico.
-
ERRADO.
Segundo a ISO 27002,"4 Análise/avaliação e tratamento de riscos
Os controles podem ser selecionados desta Norma ou de outros conjuntos de controles, ou novos controles podem ser considerados para atender às necessidades específicas da organização. É importante reconhecer que alguns controles podem não ser aplicáveis a todos os sistemas de informação ouambientes, e podem não ser praticáveis para todas as organizações."
**Portanto, se alguns controles podem ser desnecessários ou inaplicáveis a uma organização, logo NEM TODOS os controles existentes são implementados em um determinado ambiente tecnológico.
-
Segundo ISO 27002:2013, pag 5: "Existem três fontes principais de requisitos de segurança da informação. (...) Uma fonte é obtida a partir da avaliação de riscos para a organização,".
Portanto a avaliação de riscos serve de base para a identificação dos requisitos de segurança da informação. Posteriormente os controles são selecionados a fim de cobrir estes requisitos.