SóProvas


ID
1214194
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Considerando o que dispõe a NBR ISO/IEC 27005, julgue os itens subsecutivos.

Na definição da metodologia de avaliação dos riscos, devem ser identificadas as ameaças que podem afetar os ativos de informação que serão avaliados.

Alternativas
Comentários
  • ERRADO, pois a identificação das ameaças é realizada na análise de riscos, não na avaliação de riscos.

    Segundo a ISO 27005:2008,"

    8.2 Análise de riscos

    8.2.1 Identificação de riscos

    8.2.1.1 Introdução à identificação de riscos

    8.2.1.2 Identificação dos ativos

    8.2.1.3 Identificação das ameaças

    8.2.1.4 Identificação dos controles existentes

    8.2.1.5 Identificação das vulnerabilidades

    8.2.1.6 Identificação das conseqüências

    8.3 Avaliação de riscos"

     

     

  • Norma esclarece que ela não é uma metodologia específica.

  • Galera agora não entendi, segundo a norma Norma 27005:2011 encontramos:

    O processo de avaliação de riscos consiste nas seguintes atividades:

     Identificação de riscos, que envolve:

    - Identificação dos ativos – define os ativos com riscos a serem gerenciados e os processos de negócio que os envolvem;
    Identificação das ameaças – produz uma lista de ameaças com o tipo e a fonte das ameaças;
    - Identificação dos controles existentes;
    - Identificação das vulnerabilidades;
    - Identificação das consequências;

    poderiam me auxiliar nessa dúvida, afinal o que está errado na questão?

  • Colega , as normas 27005:2008 e a 27005:2011 tiveram algumas mudanças na estrutura. Esta questão esta baseada na versão de 2008. Mas conforme a versão 27005:2011, a IDENTIFICAÇÃO DE AMEAÇAS REALMENTE SE ENCONTRA DENTRO DA AVALIAÇÃO DE RISCOS.

  • Se levarmos em conta a versão de 2011, a questão está correta. Existe o processo de avaliação de riscos, que engloba as atividades de identificação, análise e avaliação de riscos. Dessa forma, o termo "avaliação" pode ser tanto o processo quanto a atividade. Na questão fala em metodologia e eu entendi como o processo, marcando a questão como certa. Mas realmente é difícil saber o que o examinador estava pensando. Segue o baile...