CERTO na norma antiga de 2008 , ERRADO conforme a versão de 2011. CORREÇÃO CONFORME A VERSÃO 2011.
1) Na identificação dos ativos de uma organização, que ocorre durante a atividade de análise de riscos,[...] (ERRADO)
Segundo a ISO 27005,"
8.2 Identificação de riscos
8.2.1 Introdução à identificação de riscos
8.2.2 Identificação dos ativos"
***Identificação dos ativos está diretamente na raiz de identificação de riscos.
2)[...]é exigida a identificação de um responsável para cada ativo de forma a garantir as responsabilidades na prestação de contas. (CORRETO)
Segundo a ISO 27005:2011,"8.2.2 Identificação dos ativos
Convém que um responsável seja identificado para cada ativo, a fim de oficializar sua responsabilidade e garantir a possibilidade da respectiva prestação de contas.
"
Bom,
Se você considerar a nova versão da normal, ou seja, de 2011, a questão estaria errada porque esta identificação não ocorre na atividade de análise de risco e sim na identificação de risco.
8.2 Identificação de riscos 22
8.2.1 Introdução à identificação de riscos 22
8.2.2 Identificação dos ativos 22
8.2.3 Identificação das ameaças 23
8.2.4 Identificação dos controles existentes 23
8.2.5 Identificação das vulnerabilidades 24
8.2.6 Identificação das consequências 25
8.3 Análise de riscos