-
Assinalei como CERTO.
E encontrei algo que corrobora com minha posição, ISO 27005: 2011 Página 14:
Processo de Gestão de Riscos de Segurança da Informação(GRSI) PODE ter as atividades de análise/avaliação de riscos e/ou de tratamento do risco sendo realizadas mais de uma vez.
Gabarito Definitivo marcou ERRADO e concordo com essa posição.
A questão diz: "O processo de GRSI É iterativo tanto para o processo de avaliação de riscos quanto para as atividades de tratamento de risco".
Colocado dessa forma parece ser obrigatório a iteração, quando na verdade a norma é bem clara e diz PODE.
A celuema está nesse jogo de PODE ou É iterativo.
Cespe EU te AMO!
Aguardo contribuição dos colegas.
-
Eu também marquei CERTO, mas se realmente o gabarito for ERRADO, então é por causa do PODE. Assim, o que torna a questão errada consiste na palavra "É", que demonstra obrigatoriedade.
Segundo a ISO 27005:2011,p.14, "Como mostra a Figura 2, o processo de gestão de riscos de segurança da informação pode ser iterativo
para o processo de avaliação de riscos e/ou para as atividades de tratamento do risco."
-
nada a ver suas respostas.. o "é" nao determina ou impoem nada.. ele é iterativo? sim! sempre? nao! errado estaria ao dizer "deve" "é sempre interativo"
-
Gustavo,
Acho que faz sentido. Na resposta do Nobre Nobre dá a entender que o padrão da norma é sequencial, mas pode ter mais de uma iteração. Então, ao falar que "é sequencial" subentendese que assim é o padrão, contudo pode variar, ou é sempre assim. É sutil, mas, ainda válido. A CESPE tem questões com gabaritos piores.
-
Inicialmente marquei como Certo, entretanto é uma questão realmente capsiosa. O fato de algo ser "iterativo" não restringe a possibilidade de se ter apenas um único ciclo de melhoria ou aprendizagem. Nesse caso o fato da utizacao do "é" ou do "pode" não ficaria tão evidente como sendo o erro da questão. Independente disso, espero na próxima vez não perder essa questão. Gabarito, ERRADO. FFF
-
Nossa! Que questão maldita!
-
2018
De acordo com a ABNT NBR ISO/IEC 27005:2011, assinale a opção que indica a atividade que pode ter um enfoque iterativo.
A Definição do contexto.
B Tratamento do risco.
C Aceitação do risco.
D Comunicação e consulta do risco.
E Monitoramento e análise crítica de riscos.
O processo de GRSI é iterativo tanto para o processo de avaliação de riscos quanto para as atividades de tratamento de risco.
Se o erro for nesse PODE ser iterativo
é de fuder
de qualquer forma, entraria com recurso, pois EM REGRA, ele é iterativo
veja o que está na norma
O processo de avaliação de riscos é executado frequentemente em duas (ou mais) iterações. Primeiramente, uma avaliação de alto nível é realizada para identificar os riscos potencialmente altos, os quais merecem uma avaliação mais aprofundada. A segunda iteração pode considerar com mais profundidade esses riscos potencialmente altos revelados na primeira iteração. Se ela não fornecer informações suficientes para avaliar o risco, então análises adicionais detalhadas precisarão ser executadas, provavelmente em partes do escopo total e possivelmente usando um outro método.
-
O erro não poder ser esse "É", no lugar de PODE, pq a questão fala em PROCESSO. Até pq, por se tratar do ciclo PDCA, as coisas tem que ser iterativas. Mais cedo ou mais tarde vamos analisar/avaliar aquele risco denovo e vamos analisar críticamente o plano de tratamento de riscos. Lembrando bem da figura, me recordo que há duas perguntas no ciclo: A AVALIAÇÃO FOI SATISFATÓRIA? O TRATAMENTO FOI SATISFATÓRIO?
Para de onda Cespe, vão arranjar emprego numa empresa pra vcs aplicarem a norma...
-
Acho que o examinador interpretou de forma bem literal a imagem do processo de gestão riscos definido na norma, com a sua descrição. Porém, se o tratamento de riscos não for satisfatório, poderá haver outra iteração do processo a partir da definição do contexto.
https://www.qsp.org.br/image/figura_27005.gif
"Primeiramente, o contexto é estabelecido. Em seguida, executa-se um processo de avaliação de riscos. Se ele fornecer informações suficientes para que se determine de forma eficaz as ações necessárias para reduzir os riscos a um nível aceitável, então a tarefa está completa e o tratamento do risco pode suceder-se. Por outro lado, se as informações forem insuficientes, executa-se uma outra iteração do processo de avaliação de riscos, revisando-se o contexto (por exemplo: os critérios de avaliação de riscos, de aceitação do risco ou de impacto), possivelmente em partes limitadas do escopo."
-
Qualquer um que tenha estudado a norma marcaria Certo nessa questão.
-
To rico, to pobre, pode, não pode, f*, não f*....
-
Tratamento de Riscos (Ponto de Decisão 1) e Aceitação de Riscos (Ponto de Decisão 2) são iterativos.
Ao chegar neles pode ter de voltar à Identificação de Riscos, ou à Definição de Contexto.