SóProvas

9 Tratamento do risco de segurança da informação
9.1 Descrição geral do processo de tratamento do risco
Entrada: Uma lista de riscos priorizada, de acordo com os critérios de avaliação de riscos, em relação aos cenários de incidentes que podem levar a esses riscos.
Ação: Convém que controles para modificar, reter, evitar ou compartilhar os riscos sejam selecionados e o plano de tratamento do risco seja definido.

9.2 Modificação do risco
Ação: Convém que o nível de risco seja gerenciado através da inclusão, exclusão ou alteração de controles, para que o risco residual possa ser reavaliado e então considerado aceitável.

FONTE: NBR ISO/IEC 27005:2011

A)ERRADA. "Convém notar que é possível compartilhar a responsabilidade de gerenciar riscos, entretanto não é normalmente possível compartilhar a responsabilidade legal por um impacto."

__________________

B)ERRADA. "Se o nível de risco atende aos critérios para a aceitação do risco, não há necessidade de seimplementar controles adicionais e pode haver a retenção do risco."

__________________

C)ERRADA. "Quando os riscos identificados são considerados demasiadamente elevados e quando os custos da implementação de outras opções de tratamento do risco excederem os benefícios, pode-se decidir que o risco seja evitado completamente, seja através da eliminação de uma atividade planejada ou existente (ou de um conjunto de atividades), seja através de mudanças nas condições em que a operação da atividade ocorre."

_________________

E)ERRADA. "Existem vários critérios para aceitação de riscos conforme é descrito no item 7.2.4 Critérios para a aceitação do risco da norma."(Parafraseado por mim)

_________________

**Todos os itens corrigidos são cópias fiéis da norma, exceto a alternativa (E) PARAFFASEADA POR MIM.