ERRADO, pois essa é a entrada para a avaliação das consequências.
Segundo a ISO 27005:2011,"8.4 Avaliação de riscos
Entrada: Uma lista de riscos com níveis de valores designados e critérios para a avaliação de riscos."
---------//----------
"8.3.2 Avaliação das consequências
Entrada: Uma lista de cenários de incidentes identificados como relevantes, incluindo a identificação de
ameaças, vulnerabilidades, ativos afetados e consequências para os ativos e processos do negócio."
Essa questão teria complicações adicionais para ser respondida, caso sua referência fosse a ISO 27.005:2011. Provavelmente, o examinador tomou como referência a ISO 27.005:2006.
É consenso que a "Avaliação das consequências" (que tem como entrada uma lista de cenários de incidentes identificados como relevantes) ocorre na fase "Análise de riscos" e não na fase de "Avaliação de riscos". O ponto é que na ISO 27.005:2011 o processo macro antes chamado de "Análise/Avaliação de riscos" agora passa a ser chamado de "Processo de avaliação de riscos", mantendo ainda o atividade de "Avaliação de riscos" como parte do mesmo. Para facilitar o entendimento, seguem as seções da ISO 27.005:2011 (ver as duas seções sublinhadas):
8 Processo de avaliação de riscos de segurança da informação 21
8.1 Descrição geral do processo de avaliação de riscos de segurança da informação 21
8.2 Identificação de riscos 22
8.2.1 Introdução à identificação de riscos 22
8.2.2 Identificação dos ativos 22
8.2.3 Identificação das ameaças 23
8.2.4 Identificação dos controles existentes 23
8.2.5 Identificação das vulnerabilidades 24
8.2.6 Identificação das consequências 25
8.3 Análise de riscos 26
8.3.1 Metodologias de análise de riscos 25
8.3.2 Avaliação das consequências 27
8.3.3 Avaliação da probabilidade dos incidentes 29
8.3.4 Determinação do nível de risco 30
8.4 Avaliação de riscos
Assim, tendo como base a 27.005:2011, o examinador deve especificar de alguma forma a qual dos processos de "Avaliação de riscos" o mesmo está se referindo, se ao macro-processo "Processo de avaliação de riscos", que envolve os processo de: "Identificação de riscos", "Análise de riscos" e "Avaliação de riscos"; ou, simplesmente, ao processo interno de "Avaliação de riscos".Como a questão fez referência à "entrada do processo de avaliação de riscos" se faz parte do gênero ou da espécie, daria margem para recurso, se tomássemos como referência a 27.005:2011.
Espero ter ajudado mais que confundido! Mas, achei um questionamento válido, além de uma boa revisão sobre o assunto.
Ano: 2014Banca: FCC
Órgão: TJ-AP
Prova: Analista Judiciário - Área Apoio Especializado - Tecnologia da Informação
Resolvi erradoSegundo Norma ABNT NBR ISO/IEC 27005:2011, o processo de avaliação de riscos de segurança da informação consiste nas atividades de identificação de riscos, análise de riscos e avaliação de riscos. Segundo a Norma, a entrada da atividade de avaliação de riscos é uma lista de riscos a)priorizada de acordo com os objetivos do negócio e com os cenários de incidentes.
b)associada a cada ativo, processo de negócio ou processo de TI.
c)categorizada e priorizada a partir da análise crítica dos incidentes ocorridos.
d)com níveis de valores designados e critérios para a avaliação de riscos.
e)e cenários de incidentes com suas consequências associadas aos ativos e processos de negócio.
letra D