Questão Q772147

Segundo a norma NBR ISO/IEC 27001, a organização deve realizar avaliações de riscos de segurança da informação a intervalos planejados, quando mudanças significativas são propostas ou ocorrem, levando-se em conta os critérios estabelecidos de aceitação do risco e para desempenho das avaliações dos riscos de SI. Quanto aos resultados das avaliações, a organização deve:

Alternativas

divulgar os resultados ao público externo a fim de obter vantagem competitiva de mercado.

reter informação documentada dos resultados das avaliações de risco de segurança da informação.

encaminhar para o órgão certificador visando obter certificação de segurança.

descartar os resultados a fim de evitar a possibilidade de vazamento de informação sensível da organização quanto à sua segurança da informação.

enviar o resultado para o comitê de segurança da informação a fim de validar se os resultados foram corretamente aferidos.

Comentários

Letra B

8.2 Avaliação de riscos de segurança da informação

A organização deve realizar avaliações de riscos de segurança da informação a intervalos planejados, quando mudanças significativas são propostas ou ocorrem, levando em conta os critérios estabelecidos em 6.1.2 a.

A organização deve reter informação documentada dos resultados das avaliações de risco de segurança da informação.

Fonte: ISO 27001/2013, página 10.
Quando fiz essa questão, errei. Depois de uma leitura mais atenta percebi como fui desatendo ao cerne dela, se a organização fez uma análise de risco demostrando os seus pontos fracos e fortes, o que se deve fazer com isso? Obviamente guardar/reter essa informação já que ela é extremamente sensível.

SóProvas

Continue usando...

O que está incluso