-
ERRADO, pois a identificação das ameaças é realizada na análise de riscos, não na avaliação de riscos.
Segundo a ISO 27005:2008,"
8.2 Análise de riscos
8.2.1 Identificação de riscos
8.2.1.1 Introdução à identificação de riscos
8.2.1.2 Identificação dos ativos
8.2.1.3 Identificação das ameaças
8.2.1.4 Identificação dos controles existentes
8.2.1.5 Identificação das vulnerabilidades
8.2.1.6 Identificação das conseqüências
8.3 Avaliação de riscos"
-
Norma esclarece que ela não é uma metodologia específica.
-
Galera agora não entendi, segundo a norma Norma 27005:2011 encontramos:
O processo de avaliação de riscos consiste nas seguintes atividades:
Identificação de riscos, que envolve:
- Identificação dos ativos – define os ativos com riscos a serem gerenciados e os processos de negócio que os envolvem;
- Identificação das ameaças – produz uma lista de ameaças com o tipo e a fonte das ameaças;
- Identificação dos controles existentes;
- Identificação das vulnerabilidades;
- Identificação das consequências;
poderiam me auxiliar nessa dúvida, afinal o que está errado na questão?
-
Colega , as normas 27005:2008 e a 27005:2011 tiveram algumas mudanças na estrutura. Esta questão esta baseada na versão de 2008. Mas conforme a versão 27005:2011, a IDENTIFICAÇÃO DE AMEAÇAS REALMENTE SE ENCONTRA DENTRO DA AVALIAÇÃO DE RISCOS.
-
Se levarmos em conta a versão de 2011, a questão está correta. Existe o processo de avaliação de riscos, que engloba as atividades de identificação, análise e avaliação de riscos. Dessa forma, o termo "avaliação" pode ser tanto o processo quanto a atividade. Na questão fala em metodologia e eu entendi como o processo, marcando a questão como certa. Mas realmente é difícil saber o que o examinador estava pensando. Segue o baile...