SóProvas

ID
1350100
Banca
Quadrix
Órgão
SERPRO
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Para cada um dos riscos identificados, seguindo a análise/avaliação de riscos, uma decisão sobre o tratamento do risco precisa ser tomada. Possíveis opções para o tratamento do risco incluem:

I. transferir os riscos associados para outras partes, por exemplo, para a área de negócios.

II. evitar riscos, não permitindo ações que poderiam causar a ocorrência de riscos.

III. conhecer e aceitar os riscos, independentemente da política da organização, desde que atendam aos critérios para a aceitação de risco.
IV. aplicar controles apropriados para reduzir os riscos.

De acordo com a norma ABNT NBR ISO/IEC 17799:2005, está correto o que se afirma em:

Alternativas
Comentários

  • LETRA D.


    Segundoa ISO 27002,"4.2 Tratando os riscos de segurança da informação

    Possíveis opções para o tratamento do risco, incluem:

    a) aplicar controles apropriados para reduzir os riscos;

    b) conhecer e objetivamente aceitar os riscos, sabendo que eles atendem claramente à política da organização e aos critérios para a aceitação de risco;

    c) evitar riscos, não permitindo ações que poderiam causar a ocorrência de riscos;

    d) transferir os riscos associados para outras partes, por exemplo, seguradoras ou fornecedores.

    "

  • Esse lance de transferir riscos é interessante. Particularmente, no início não me sentia confortável com essa terminologia. No entanto, basta pensar no risco de ocorrer uma explosão em uma planta industrial. Neste exemplo, a indústria, na maior parte das vezes, opta por contratar uma seguradora, segurar a planta industrial (ou parte dela), transferindo, assim, o risco da explosão para a seguradora. A partir daí, a explosão, em si, da planta ou da parte da planta segurada, não pertence diretamente a essa indústria. Obviamente, devem-se mapear os demais riscos inerentes a essa explosão de modo a trata-los em separado ou, até mesmo, inclui-los como parte do bem segurado.

  • Transferir os riscos para outro setor interno à organização não é uma forma de tratamento de riscos. O correto é que o Risco seja transferido para outra organização como uma seguradora por exemplo.