SóProvas

ID
208918
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

A continuidade do negócio objetiva não permitir a interrupção das
atividades do negócio e proteger os processos críticos contra efeitos
de falhas ou desastres significativos. Com base nas normas
ISO 27001, ISO 27002, ISO 27005 e ISO 15999, julgue os itens
seguintes.

A análise do risco é realizada sobre os eventos que possam causar interrupções nos processos do negócio e auxiliam na determinação de seus impactos em termos de escala de dano e em relação ao período de recuperação. Nessa análise, devem-se considerar os processos de negócio impactados, limitando-se aos recursos, sem considerar as instalações de processamento de dados.

Alternativas
Comentários

  • Tem que levar em conta os riscos de fenômenos naturais nas instalações de precessamento de dados.

  • Análise de riscos é executrada sobre ATIVOS, pois esses posuem as vulnerabilidades e são visados pelas ameaças, que usam as vulnerabilidades para causar dano a ativo.

    Evento é uma falha de segurança que pode causar algum dano a organização, não é um elemento critico como o Incidente que é um ou mais eventos que representam grande risco a organização.
  • A análise do risco é realizada sobre os eventos Ativos que possam causar interrupções nos processos do negócio e auxiliam na determinação de seus impactos em termos de escala de dano e em relação ao período de recuperação. Nessa análise, devem-se considerar os processos de negócio impactados, limitando-se aos recursos, sem considerar as instalações de processamento de dados.

    A análise/avaliação de risco determina o valor dos ativos da informação, identifica as ameaças e vulnerabilidades aplicaveis existentes (o uque poderia a existir) identifica os controles existentes e seus efeitos nos riscos identificados, determina as consequencias possíveis e, finalmente, prioriza os riscos derivados e ordena-os de acordo com os critérios de avaliação de risco estabelecido na definição do contexto.

    Fonte: ABNT ISO/IEC 27005:2008
  • A assertiva estava "indo bem" até chegar nas afirmações finais:

    "A análise do risco é realizada sobre os eventos que possam causar interrupções nos processos do negócio e auxiliam na determinação de seus impactos em termos de escala de dano e em relação ao período de recuperação. Nessa análise, devem-se considerar os processos de negócio impactados, limitando-se aos recursos, sem considerar as instalações de processamento de dados. "

    Como foi citado em outros comentários, a análise de risco deve envolver todos os ativos da organização; não apenas os recursos.