✅Gabarito(Certo)
Nem todos os itens estão mencionados no tópico 8.2 como mencionado nos comentários anteriores.
☆ 8 Processo de avaliação de riscos de segurança da informação
8.2 Identificação de riscos
8.2.2 Identificação dos ativos
✓ Identificar os bens e seus valores.
8.2.3 Identificação das ameaças
✓ Identificar vulnerabilidades e ameaças.
8.2.5 Identificação das vulnerabilidades
✓ Identificar vulnerabilidades e ameaças.
☆ 8.3 Análise de riscos
8.3.2 Avaliação das consequências
✓ Quantificar a probabilidade e o impacto nos negócios das ameaças potenciais.
✓ Oferecer um equilíbrio econômico entre o impacto da ameaça e do custo da prevenção.
➥ Assim, aos ativos podem ser atribuídos valores correspondendo tanto aos seus custos financeiros, quanto às consequências ao negócio se forem danificados ou comprometidos.
➥ O valor do impacto ao negócio pode ser expresso de forma qualitativa ou quantitativa, porém um
método para designar valores monetários geralmente pode fornecer mais informações úteis para a
tomada de decisões e, consequentemente, permitir que o processo de tomada de decisão seja mais
eficiente.
Fonte: ABNT/CB-21 PROJETO DE REVISÃO ABNT NBR ISO/IEC 27005 (ISO/IEC 27005:2011) AGOSTO:2011