-
"É muito comum se ouvir que "a norma que trata de riscos é a 27005" e "a norma que trata da definição de controles é a 27002". O pensamento mais correto seria o de que a 27001 é a norma base de toda a família e que todas as outras são normas subsidiárias criadas para melhor esclarecer pontos da 27001 (que contém o "quê", mas não o "como"). A 27001 fala da obrigatoriedade de se determinar os controles (na seção 6.1.3) e também fala da identificação, análise, avaliação e tratamento de riscos (na seção 6.1.2). Tudo isso está gravado no meu módulo sobre a ISO/IEC 27001 lá no Provas de TI. O único "porém" é que as opções de tratamento de que trata a seção 6.1.3 não são listadas, de fato, na 27001, mas na 27005. É o máximo de "erro" que encontro no enunciado. Mas acho que não é suficiente para invalidar o item. Teria marcado "C" no dia. Abraço.
...
Na 27005:2008, a estratégia EVITAR/ELIMINAR o risco é descrita na seção 9.4 (na versão de 2011 também... nada mudou). Vlw. Abraço.
Prof. Luis Claudio."
Fonte: http://www.itnerante.com.br/forum/topics/tce-rn-inspetor-de-ti-possibilidade-de-recurso-professores?commentId=1867568%3AComment%3A371063
-
Por mim esta questão está errada, pois conforme pode ser visto, a palavra "eliminar" não deveria ser utilizada, uma vez que todos nós sabemos que nenhum risco pode ser eliminado e sim mitigado.
-
Concordo com o colega Julio Cesar, pois marquei errado justamente pela palavra "eliminar" onde melhor se encaixaria a palavra "reduzir".
-
marquei errado também, poís nunca-se elimina os riscos.
-
A 27005:2011 tem a seguinte nota na definição de tratamento de risco: "NOTA 2 Os tratamentos de riscos relativos a consequências negativas são muitas vezes referidos como "mitigação de riscos", "eliminação de riscos", "prevenção de riscos" e "redução de riscos"."
Já na 27001:2013, eu não encontrei citações sobre eliminação.
-
GABARITO: CERTO.
-
Muito bom!
-
saudades dessas questões mais simples...de 2016 pra cá a FGV mudou totalmente o perfil de questões, cuidado pessoal