SóProvas


ID
1823146
Banca
CESPE / CEBRASPE
Órgão
TRE-PI
Ano
2016
Provas
Disciplina
Segurança da Informação
Assuntos

Considere que a equipe composta por quatro analistas de sistemas de um órgão do judiciário federal brasileiro deva desenvolver um plano de implantação da gerência de riscos de segurança da informação nesse órgão. Acerca das atividades que podem ser realizadas pela equipe, e considerando os conceitos de gerência de riscos, de classificação e controle dos ativos de informação, e a norma ISO/IEC 27005, é correto afirmar que essa equipe

Alternativas
Comentários
  • Qual o erro do item B?

  • Respondi B nessa prova. Mas analisando agora, acredito que especificar os critérios para a avaliação dos riscos seja uma responsabilidade de mais alto nível; não cabendo, portanto, à equipe citada na questão.

  • A resposta certa é a letra A. A norma ISO 27005, para quem a conhece, não exige nenhuma das alternativas b, c, d ou e no que tange a particionamento de equipe. A palavra "DEVE" (do inglês "shall"), quando se tratando de normas da ABNT deve ser lida com muito cuidado, pois este termo refere-se a itens que tem de ser realizados exatamente como estão escritos. O que não é o caso desta questão. Exemplo: em nenhuma diretriz da 27005, é especificado ou explicado o DEVER de divisão das atividades. O que é especificada é a ordem das atividades como processo, mas quem vai executar não. Assim como não é exigido o uso de técnicas quantitativas e muito menos que se tenha um SGSI estabelecido antes da gestão de riscos (leia-se: a gestão de riscos é a base de um bom SGSI baseado na 27001, logo, é impossível ter um antes do outro). 

    Já a questão 1 está correta, por que a etapa de identificação de riscos possui uma sub-etapa chamada de identificação de ativos que, por sua vez, tem como atividade o levantamento dos processos que terão seus riscos analisados.



  • LETRA A. 

    Segundo a ISO 27005:2011,"8.2.2 Identificação dos ativos

    Saída: Uma lista de ativos com riscos a serem gerenciados, e uma lista dos processos de negócio relacionados aos ativos e suas relevâncias."