SóProvas

ID
1643359
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação à gestão de riscos, julgue o próximo item.

Retenção é uma forma de tratamento do risco que visa implantar controles para se reduzirem os riscos a um nível aceitável pela organização. Na escolha dos controles, consideram-se os critérios da organização para a aceitação do risco, tais como requisitos legais, regulatórios, contratuais, culturais, ambientais e aspectos técnicos, além de custos e prazos para a implantação de controles.

Alternativas
Comentários
  • Errado!Retenção é aceitar o risco, desde que ele atenda aos critérios de aceitação do risco da organização. Tanto que, a partir da segunda frase, ele continua falando em “aceitação do risco”, o que é correto. A forma de tratamento citada na primeira sentença é modificar o risco.

  • Redução do risco – ações tomadas para reduzir a probabilidade, as consequências negativas ou ambas associadas a um risco;

    Retenção do risco – aceitação do ônus da perda ou do benefício do ganho associado a um determinado risco; *Observem que interessante: aqui a norma fala de um risco eventualmente positivo, algo um pouco contraditório aos ditames da 27001 e 27002.


    http://fagury.com.br/sys/?tag=abnt-nbr-isoiec-27005

  • Segundo a ISO 27005,"

    9.2 Redução do risco

    Ação: Convém que o nível de risco seja reduzido através da seleção de controles, para que o risco residual possa ser reavaliado e então considerado aceitável.

    ---------------------------------------------------------------

    9.3 Retenção do risco

    Ação: Convém que as decisões sobre a retenção do risco, sem outras ações adicionais, sejam tomadas tendo como base a avaliação de riscos.

    ----------------------------------------

    9.4 Ação de evitar o risco

    Ação: Convém que a atividade ou condição que dá origem a um determinado risco seja evitada.

    --------------------------------------------------

    9.5 Transferência do risco

    Ação: Convém que um determinado risco seja transferido para outra entidade que possa gerenciá-lo de forma mais eficaz, dependendo da avaliação de riscos.

    "


    Copiado do monstro HTTP Concurseiro...