Questão Q69633

Question

An&aacute;lises cr&iacute;ticas devem ser executadas em n&iacute;veis de profundidade distintos e se ap&oacute;iam nas an&aacute;lises de riscos anteriormente realizadas. As probabilidades de falhas s&atilde;o embasadas, entre outros, nas amea&ccedil;as e vulnerabilidades mais frequentes e nos controles implementados.

Answer

Monitorar e analisar criticamente o SGSI ( check)

Realizar análise critica de eficácia do SGSI (incluindo o atendimento da política e dos objetivos do SGSI, e a análise crítica de controle de segurança) levando em consideração os resultados de auditoria de segurança da informação, incidente de segurança da informação, resultados das medições de eficácia, sugestões e realimentações de todas as partes interessadas.

Answer

Avaliação da Probabilidade: Convém levar em conta a frequência da ocorrência das ameaças e a facilidade com que as vulnerabilidades podem ser exploradas, considerando dados como a experiência passada, estatística, motivação e competência de ameaças intencionais, fatores geográficos de ameaças acidentais, vulnerabilidades e os controles existentes e sua eficácia.

Answer

Análises críticas devem ser executadas em níveis de profundidade distintos OK, como há níveis diversos de complexidade, é correto que haja níveis de profundidade distintos.
e se apóiam nas análises de riscos anteriormente realizadas. OK, apesar de considerar auditorias, incidentes e métricas, a base para todo o SGSI é a análise/avaliação de riscos.
As probabilidades de falhas são embasadas, entre outros, nas ameaças e vulnerabilidades mais frequentes e nos controles implementados. OK, conforme excelente comentário do Marco Aurélio.

Answer

O nosso colega Marco Aurélio esqueceu de mencionar a fonte., segue ela abaixo.

ABNT NBR ISO IEC 27005:2008, Seção 8.2.2.3 Avaliação da probabilidade dos incidentes, Diretrizes para implementação

SóProvas

Continue usando...

O que está incluso