Questão Q607713

Considere que a equipe composta por quatro analistas de sistemas de um órgão do judiciário federal brasileiro deva desenvolver um plano de implantação da gerência de riscos de segurança da informação nesse órgão. Acerca das atividades que podem ser realizadas pela equipe, e considerando os conceitos de gerência de riscos, de classificação e controle dos ativos de informação, e a norma ISO/IEC 27005, é correto afirmar que essa equipe

Alternativas

deve produzir ou obter a lista de processos de negócios aos quais estarão vinculados os demais ativos de informação a serem identificados na atividade de identificação de riscos.

deve particionar entre os quatro membros a responsabilidade pelo desempenho dos seguintes papéis, entre outros: identificação e análise das partes interessadas, estabelecimento de ligações com as funções de gerência de riscos de alto nível, especificação dos critérios para a avaliação dos riscos, estimativa de impactos e aceitação do risco para a organização.

deve aplicar uma metodologia de análise quantitativa de riscos, excluindo a aplicação de uma metodologia qualitativa.

deve implantar o sistema de gestão de segurança da informação, antes de desenvolver o plano de gestão de riscos.

deve particionar entre seus quatro membros a responsabilidade da execução simultânea das seguintes atividades: definição do escopo, identificação dos riscos, tratamento dos riscos e comunicação do risco.

Comentários

Qual o erro do item B?
Respondi B nessa prova. Mas analisando agora, acredito que especificar os critérios para a avaliação dos riscos seja uma responsabilidade de mais alto nível; não cabendo, portanto, à equipe citada na questão.
A resposta certa é a letra A. A norma ISO 27005, para quem a conhece, não exige nenhuma das alternativas b, c, d ou e no que tange a particionamento de equipe. A palavra "DEVE" (do inglês "shall"), quando se tratando de normas da ABNT deve ser lida com muito cuidado, pois este termo refere-se a itens que tem de ser realizados exatamente como estão escritos. O que não é o caso desta questão. Exemplo: em nenhuma diretriz da 27005, é especificado ou explicado o DEVER de divisão das atividades. O que é especificada é a ordem das atividades como processo, mas quem vai executar não. Assim como não é exigido o uso de técnicas quantitativas e muito menos que se tenha um SGSI estabelecido antes da gestão de riscos (leia-se: a gestão de riscos é a base de um bom SGSI baseado na 27001, logo, é impossível ter um antes do outro).
Já a questão 1 está correta, por que a etapa de identificação de riscos possui uma sub-etapa chamada de identificação de ativos que, por sua vez, tem como atividade o levantamento dos processos que terão seus riscos analisados.
LETRA A.

Segundo a ISO 27005:2011,"8.2.2 Identificação dos ativos

Saída: Uma lista de ativos com riscos a serem gerenciados, e uma lista dos processos de negócio relacionados aos ativos e suas relevâncias."

SóProvas

Continue usando...

O que está incluso