-
I - CERTA - Análise de riscos. Fases de Identificação de riscos:
- Identificação dos ativos;
- Identificação das ameaças;
- Identificação dos controles existentes;
- Identificação das vulnerabilidades;
- Identificação das consequências.
II - ERRADA. São 4 as opções de tratamento porém não são mutuamente exclusivas. Opções de tratamento do risco:
-redução do risco;
- retenção do risco;
- evitar o risco;
- transferência do risco
III - ERRADA. Nada que ligue o documento de declaração de aplicabilidade com a etapa de comunicação dos riscos. Declaração de aplicabilidade provê um resumo das decisões relativas a tratamento de risco. Na etapa da comunicação do risco é desenvolvido planos de comunicação dos riscos.
-
A última ISO relacionada a Gestão de Riscos de Segurança da informação foi publicada em 2011-06-01 - ISO/IEC 27005:2011
Logo, a questão já começa errada, afirmando: De acordo com a norma ISO 27005:2013 ...
http://www.iso.org/iso/catalogue_detail?csnumber=56742
-
Essa questão está toda errada. Primeiro, como o colega já citou, não existe 27005:2013 e sim 27005:2011. E a afirmativa I também está errada, vamos ver o porquê:
A seção 8 da norma 27005:2011 é chamada de Avaliação de Riscos. E ela é subdividida em:
8. Avaliação de Riscos de SI.
8.1. Descrição Geral.
8.2. Identificação de Riscos.
8.3. Análise de Risco
8.4. Avaliação de Risco
A identificação do AACVC (Ativos, Ameaças, Controles existentes, Vulnerabilidades, Consequências) é feita na 8.2. Identificação de Risco e não na 8.3. Análise de Risco.
Esse cara colocou a referência errada (27005:2013 ao invés de 27005:2011). Além disso, para piorar tudo, usou a 27005:2008 para fazer a questão, onde essa estaria certa.
-
Replicando resposta, melhor visualização:
I - CERTA - Análise de riscos. Fases de Identificação de riscos:
- Identificação dos ativos;
- Identificação das ameaças;
- Identificação dos controles existentes;
- Identificação das vulnerabilidades;
- Identificação das consequências.
Memorização: AACVC
II - ERRADA. São 4 as opções de tratamento porém NÃO são mutuamente exclusivas. Opções de tratamento do risco:
- Redução do risco;
- Retenção do risco;
- Evitar o risco;
- Transferência do risco
Memorização: RRET
III
- ERRADA. Nada que ligue o documento de declaração de aplicabilidade
com a etapa de comunicação dos riscos.
Declaração de
aplicabilidade provê um resumo das decisões relativas a tratamento de
risco.
Na etapa da comunicação do risco é desenvolvido planos de
comunicação dos riscos.
-
2011
2018
O Processo de Gestão de Riscos de Segurança da Informação é formado por diversas etapas. De acordo com a ABNT NBR ISO/IEC 27005:2011, assinale a opção que indica as atividades da etapa Processo de Avaliação de Riscos.
A Monitoramento e análise crítica de riscos.
B Tratamento e aceitação do risco.
C Identificação, análise e avaliação de riscos.
D Comunicação, compartilhamento e consulta do risco.
E Modificação, retenção e ações para evitar os riscos.
2008
2018
A NBR ISO/IEC 27005 define risco como a combinação das consequências advindas da ocorrência de um determinado evento indesejado com a probabilidade de ocorrência desse mesmo evento. A análise e a avaliação de riscos capacitam os gestores a priorizar os riscos.
De acordo com essa norma, a atividade de análise de riscos inclui
A a comunicação e a avaliação de riscos.
B o tratamento e a aceitação de riscos.
C a estimativa e o tratamento de riscos.
D a avaliação e o tratamento de riscos.
E a identificação e a estimativa de riscos.