SóProvas

ID
1304998
Banca
CESPE / CEBRASPE
Órgão
ANATEL
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação à norma NBR ISO/IEC 27005:2008, que fornece diretrizes para o processo de gestão de riscos de segurança da informação nas organizações, julgue os itens subsecutivos.

A referida norma prevê quatro opções para o tratamento de um risco identificado: redução do risco por meio de controles, para que o risco residual seja considerado aceitável; retenção do risco: que considera o risco como aceitável; transferência do risco: em que se transfere o risco para outra entidade que possa gerenciá-lo de forma eficaz; e reversão do risco, em que o risco é transformado em oportunidade de negócio.

Alternativas
Comentários

  • segundo a Norma ISO 27.005 existem 4 formas para tratamento de um risco identificado: redução do risco; retenção do risco; transferência do risco e prevenção do risco. item ERRADO. reversão do risco não existe na norma 27.005.

  • A banca aproveitou o conceito do risco de acontecer uma coisa boa, mas esse conceito é do Gerenciamento de Projetos.

  • ATUALIZANDO CONFORME A VERSÃO 2011 DA NORMA.

     [ERRADO]

     

    Segundo a ISO 27005,"

    9.2 Modificação do risco
    Ação: Convém que o nível de risco seja gerenciado através da inclusão, exclusão ou alteração de controles, para que o risco residual possa ser reavaliado e então considerado aceitável.

    ____________________

    9.3 Retenção do risco
    Ação: Convém que as decisões sobre a retenção do risco, sem outras ações adicionais, sejam tomadas tendo como base a avaliação de riscos.

    ____________________

    9.4 Ação de evitar o risco
    Ação: Convém que a atividade ou condição que dá origem a um determinado risco seja evitada.

    ____________________

    9.5 Compartilhamento do risco
    Ação: Convém que um determinado risco seja compartilhado com outra entidade que possa gerenciá-lo de forma mais eficaz, dependendo da avaliação de riscos.

    "

     

  • Minha opnião:

    O risco residual é um resultante do processo de tratamento do risco ! 

    Como esta descrito na questão parece q eh apenas da opção redução do risco por meio de controles !


  • Tratamento dos Riscos => inicia com a priorização entre os riscos encontrados, levando em conta os riscos que têm maior probabilidade de se concretizar, tornando-se um incidente. Os riscos devem estar relacionados conforme as opções de tratamento, que são: redução, retenção, evitação e transferência.


    https://danielteofilo.wordpress.com/2012/10/07/gesto-de-riscos/

  • Faltou EVITAR o risco no lugar da reversão do risco. MATE - Mitigar, Aceitar, Transferir e Evitar 

  • São 4 as opções de tratamento porém NÃO são mutuamente exclusivas. Opções de tratamento do risco:


    - Redução do risco; 

    - Retenção do risco; 

    - Evitar o risco; 

    - Transferência do risco

    Memorização: RRET


    OBS: Na Norma 27005 são esses, ponto final. Em outras referências encontramos o: Aceitar,Transferir,Mitigar e Evitar.

    Fique atento!

  • O termo transferência de risco foi substituído por “compartilhamento do risco” na ISO 27005:2011, p. 94

  • Gerenciamento de Segurança da Informação = MATE- Mitigar, Aceitar, Transferir, Evitar

    __________________________________________________________________________

    Gestão de Risco ISO/IEC 27005:2011 = MAET

    Mitigar - Modificação dos Riscos

    Aceitar - Retenção dos Riscos

    Evitar - Ação de Evitar os Riscos

    Transferir - Compartilhamento dos Riscos

     

  •  reversão do risco, em que o risco é transformado em oportunidade de negócio.

    Pra mim, o erro foi esse.