SóProvas

ID
2096629
Banca
CESPE / CEBRASPE
Órgão
TCE-PA
Ano
2016
Provas
Disciplina
Segurança da Informação
Assuntos

À luz da NBR ISO/IEC 27005:2011, que dispõe diretrizes para o processo de gestão de riscos de segurança da informação (GRSI), julgue o item a seguir.

O processo de GRSI é iterativo tanto para o processo de avaliação de riscos quanto para as atividades de tratamento de risco.

Alternativas
Comentários

  • Assinalei como CERTO.

     

    E encontrei algo que corrobora com minha posição, ISO 27005: 2011 Página 14:

    Processo de Gestão de Riscos de Segurança da Informação(GRSI) PODE ter as atividades de análise/avaliação de riscos e/ou de tratamento do risco sendo realizadas mais de uma vez. 

     

    Gabarito Definitivo marcou ERRADO e concordo com essa posição.

     

    A questão diz:  "O processo de GRSI É iterativo tanto para o processo de avaliação de riscos quanto para as atividades de tratamento de risco".

    Colocado dessa forma parece ser obrigatório a iteração, quando na verdade a norma é bem clara e diz PODE.

     

    A celuema está nesse jogo de PODE ou É iterativo.     

    Cespe EU te AMO!

     

    Aguardo contribuição dos colegas.

  • Eu também marquei CERTO, mas se realmente o gabarito for ERRADO, então é por causa do PODE. Assim, o que torna a questão errada consiste na palavra "É", que demonstra obrigatoriedade. 

    Segundo a ISO 27005:2011,p.14, "Como mostra a Figura 2, o processo de gestão de riscos de segurança da informação pode ser iterativo
    para o processo de avaliação de riscos e/ou para as atividades de tratamento do risco.    "

  • nada a ver suas respostas.. o "é" nao determina ou impoem nada.. ele é iterativo? sim! sempre? nao! errado estaria ao dizer "deve" "é sempre interativo"

  • Gustavo,

    Acho que faz sentido. Na resposta do Nobre Nobre dá a entender que o padrão da norma é sequencial, mas pode ter mais de uma iteração. Então, ao falar que "é sequencial" subentendese que assim é o padrão, contudo pode variar, ou é sempre assim. É sutil, mas, ainda válido. A CESPE tem questões com gabaritos piores.

  • Inicialmente marquei como Certo, entretanto é uma questão realmente capsiosa. O fato de algo ser "iterativo" não restringe a possibilidade de se ter apenas um único ciclo de melhoria ou aprendizagem. Nesse caso o fato da utizacao do "é" ou do "pode" não ficaria tão evidente como sendo o erro da questão. Independente disso, espero na próxima vez não perder essa questão. Gabarito, ERRADO. FFF

  • Nossa! Que questão maldita!

  • 2018

    De acordo com a ABNT NBR ISO/IEC 27005:2011, assinale a opção que indica a atividade que pode ter um enfoque iterativo.

    A Definição do contexto.

    B Tratamento do risco.

    C Aceitação do risco.

    D Comunicação e consulta do risco.

    E Monitoramento e análise crítica de riscos.

    O processo de GRSI é iterativo tanto para o processo de avaliação de riscos quanto para as atividades de tratamento de risco.

    Se o erro for nesse PODE ser iterativo

    é de fuder

    de qualquer forma, entraria com recurso, pois EM REGRA, ele é iterativo

    veja o que está na norma

    O processo de avaliação de riscos é executado frequentemente em duas (ou mais) iterações. Primeiramente, uma avaliação de alto nível é realizada para identificar os riscos potencialmente altos, os quais merecem uma avaliação mais aprofundada. A segunda iteração pode considerar com mais profundidade esses riscos potencialmente altos revelados na primeira iteração. Se ela não fornecer informações suficientes para avaliar o risco, então análises adicionais detalhadas precisarão ser executadas, provavelmente em partes do escopo total e possivelmente usando um outro método. 

  • O erro não poder ser esse "É", no lugar de PODE, pq a questão fala em PROCESSO. Até pq, por se tratar do ciclo PDCA, as coisas tem que ser iterativas. Mais cedo ou mais tarde vamos analisar/avaliar aquele risco denovo e vamos analisar críticamente o plano de tratamento de riscos. Lembrando bem da figura, me recordo que há duas perguntas no ciclo: A AVALIAÇÃO FOI SATISFATÓRIA? O TRATAMENTO FOI SATISFATÓRIO?

    Para de onda Cespe, vão arranjar emprego numa empresa pra vcs aplicarem a norma...

  • Acho que o examinador interpretou de forma bem literal a imagem do processo de gestão riscos definido na norma, com a sua descrição. Porém, se o tratamento de riscos não for satisfatório, poderá haver outra iteração do processo a partir da definição do contexto.

    https://www.qsp.org.br/image/figura_27005.gif

    "Primeiramente, o contexto é estabelecido. Em seguida, executa-se um processo de avaliação de riscos. Se ele fornecer informações suficientes para que se determine de forma eficaz as ações necessárias para reduzir os riscos a um nível aceitável, então a tarefa está completa e o tratamento do risco pode suceder-se. Por outro lado, se as informações forem insuficientes, executa-se uma outra iteração do processo de avaliação de riscos, revisando-se o contexto (por exemplo: os critérios de avaliação de riscos, de aceitação do risco ou de impacto), possivelmente em partes limitadas do escopo."

  • Qualquer um que tenha estudado a norma marcaria Certo nessa questão.

  • To rico, to pobre, pode, não pode, f*, não f*....

  • Tratamento de Riscos (Ponto de Decisão 1) e Aceitação de Riscos (Ponto de Decisão 2) são iterativos.

    Ao chegar neles pode ter de voltar à Identificação de Riscos, ou à Definição de Contexto.