SóProvas

ID
1414438
Banca
FCC
Órgão
TJ-AP
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Segundo Norma ABNT NBR ISO/IEC 27005:2011, o processo de avaliação de riscos de segurança da informação consiste nas atividades de identificação de riscos, análise de riscos e avaliação de riscos. Segundo a Norma, a entrada da atividade de avaliação de riscos é uma lista de riscos

Alternativas
Comentários
  • Avaliação de Riscos

    - Parte de uma lista de riscos com níveis de valores designados e critérios para a avaliação de riscos (resultado da análise de riscos e definição de contexto);
    - O nível de riscos é comparado com os critérios de avaliação de riscos e com os critérios  para a aceitação do risco;
    - É produzida uma lista de riscos ordenados por prioridade (de acordo com os critérios de avaliação de riscos) e associados aos cenários de incidentes que os provocam.
    letra d

  • ABNT NBR ISO/IEC 27005. 

    A minha consulta foi feita na norma de março/2008 e nela percebi que o elaborador tirou literalmente o texto da página 22 conforme abaixo:


    8.3 Avaliação de riscos

    Entrada: Uma lista de riscos com níveis de valores designados e critérios para a avaliação de riscos.

    Ação: Convém que o nível dos riscos seja comparado com os critérios de avaliação de riscos e com os critérios

    para a aceitação do risco (refere-se à ABNT NBR ISO/IEC 27001, Seção 4.2.1 e) 4)).

    ...

    Saída: Uma lista de riscos ordenados por prioridade (de acordo com os critérios de avaliação de riscos) e

    associados aos cenários de incidentes que os provocam.

    vlw


  • dá pra confundir com a entrada de avaliação das consequências


    Estimativas dos riscos (QQ-CPN)


    qualitativa

    quantitativa

    consequencias

    probababilidades

    nível


    Ano: 2014Banca: CESPEÓrgão: TJ-SEProva: Analista Judiciário - Segurança da Informação

    Deve ser recebida como entrada do processo de avaliação de riscos uma lista de cenários de incidentes identificados como relevantes, com as respectivas consequências para os processos de negócio.

    errada ----- entrada de consequências e não avaliação



  • Resumo da norma ISO 27005:2011:

    7 Definição do contexto 

        7.2.2 Critérios para a avaliação de riscos 

        7.2.3 Critérios de impacto 

        7.2.4 Critérios para a aceitação do risco 

    8 Processo de avaliação de riscos de segurança da informação 

        8.2 Identificação de riscos 

            8.2.2 Identificação dos ativos 

            8.2.3 Identificação das ameaças 

            8.2.4 Identificação dos controles existentes 

            8.2.5 Identificação das vulnerabilidades 

            8.2.6 Identificação das consequências 

        8.3 Análise de riscos 

            8.3.2 Avaliação das consequências 

            8.3.3 Avaliação da probabilidade dos incidentes 

            8.3.4 Determinação do nível de risco 

        8.4 Avaliação de riscos 

    9 Tratamento do risco de segurança da informação 

        9.2 Modificação do risco 

        9.3 Retenção do risco 

        9.4 Ação de evitar o risco 

        9.5 Compartilhamento do risco 

    10 Aceitação do risco de segurança da informação 

    11 Comunicação e consulta do risco de segurança da informação 

    12 Monitoramento e análise crítica de riscos de segurança da informação 


  • LETRA D.

    Segundo a ISO 27005:2011,p.30,"8.4 Avaliação de riscos
    Entrada: Uma lista de riscos com níveis de valores designados e critérios para a avaliação de riscos."