SóProvas


ID
1414435
Banca
FCC
Órgão
TJ-AP
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Segundo Norma ABNT NBR ISO/IEC 27005:2011, convém que a organização defina sua própria escala de níveis de aceitação de risco e que critérios para a aceitação do risco

Alternativas
Comentários
  • ABNT NBR ISO/IEC 27005. 

    A minha consulta foi feita na norma de março/2008 e nela percebi que o elaborador tirou literalmente o texto da página 12 conforme abaixo:


    Critérios para a aceitação do risco

    ...

    Convém que a organização defina sua própria escala de níveis de aceitação do risco. Convém que os seguintes tópicos sejam considerados durante o desenvolvimento:

    ...

    Critérios para a aceitação do risco podem ser expressos como a razão entre o lucro estimado (ou outro benefício ao negócio) e o risco estimado

    ...

    vlw



  • Fiquei com uma enorme dúvida nesta questão, acabei marcando a letra B por bobagem.

  •  ABNT NBR ISO/IEC 27005 (ISO/IEC 27005:2011)

    "7.2.4 Critérios para a aceitação do risco

    Convém que os critérios para a aceitação do risco sejam desenvolvidos e especificados. Os critérios de aceitação do risco dependem frequentemente das políticas, metas e objetivos da organização, assim como dos interesses das partes interessadas. (EVIDENCIA O ERRO DA C)

    Convém que a organização defina sua própria escala de níveis de aceitação do risco. Convém que os seguintes tópicos sejam considerados durante o desenvolvimento:

    - Critérios para a aceitação do risco podem incluir mais de um limite, representando um nível desejável de risco, (EVIDENCIA O ERRO DA B)porém precauções podem ser tomadas por gestores seniores para aceitar riscos acima desse nível desde que sob circunstâncias definidas

    - Critérios para a aceitação do risco podem ser expressos como a razão entre o lucro estimado (ou outro benefício ao negócio) e o risco estimado (EVIDENCIA O GABARITO A)

    - Diferentes critérios para a aceitação do risco podem ser aplicados a diferentes classes de risco, por exemplo: riscos que podem resultar em não conformidade com regulamentações ou leis podem não ser aceitos, enquanto riscos de alto impacto poderão ser aceitos se isto for especificado como um requisito contratual

    - Critérios para a aceitação do risco podem incluir requisitos para um tratamento adicional futuro (EVIDENCIA O ERRO DA E), por exemplo: um risco poderá ser aceito se for aprovado e houver o compromisso de que ações para reduzi-lo a um nível aceitável serão tomadas dentro de um determinado período de tempo

    Critérios para a aceitação do risco podem ser diferenciados de acordo com o tempo de existência previsto do risco (EVIDENCIA O ERRO DA D), por exemplo: o risco pode estar associado a uma atividade temporária ou de curto prazo. Convém que os critérios para a aceitação do risco sejam estabelecidos, considerando os seguintes itens:

     - Critérios de negócio

     - Aspectos legais e regulatórios

     - Operações

     - Tecnologia

     - Finanças

     - Fatores sociais e humanitários

    NOTA Os critérios para a aceitação do risco correspondem aos “critérios para aceitação do risco e identificação do nível aceitável dos mesmos” especificados na ABNT NBR ISO/IEC 27001:2006 Seção 4.2.1.c) 2)."

    Espero ter ajudado!

  • ISO 27005:2011

    7 Definição do contexto
    7.2 Critérios básicos
    7.2.4 Critérios para a aceitação do risco

    - Critérios para a aceitação do risco podem ser expressos como a razão entre o lucro estimado (ou outro benefício ao negócio) e o risco estimado