-
A relevância é determinada pela probabilidade dos riscos acontecerem e suas consequências na organização.
-
Mas, qual a diferença em dizer que algo é determinado:
a) pelo risco de algo acontecer
b) pela probabilidade do risco de algo acontecer
Ambas as frase não têm a mesma carga semântica?
-
A determinação da relevância do controle é dada após a análise/avaliação de riscos a qual determinará qual controle é necessário para previnir/evitar ameaças a vulnerabilidades aos ativos da organização.
A questão diz que a relevância é determinada a partir dos riscos a que os patrocinadores estão expostos e o correto seria que é determinada a partir dos riscos a que os ativos estão expostos.
-
Os patrocinadores devem ser considerados em qualquer determinação de um SGSI, porém dizer que isto influi de modo tão forte na seleção dos controles é errado, já que os principais fatores a serem considerados são a legislação vigente, cultura organizacional, regras de negócios, ativos e avaliacão/análise de riscos.
-
Pessoal a questão é bem simples. A resposta está no item 0.6 da norma 27002 (antiga 17799):
"Convém observar que, embora todos os controles nesta Norma sejam importantes e devam ser considerados, a relevância de qualquer controle deve ser determinada segundo os riscos específicos a que uma organização está exposta."
O comando da questão fala sobre patrocinadores, o que é diferente de organização, e isso torna o item errado.
-
Quais são os riscos específicos que os patrocinadores estão expostos? Sequestro? Roubo? Acidente de Carro?
Os controles dessas normas não se preocupam com essas coisas... Gabarito "E".