Questão Q79485

Question

No âmbito da de segurança da informação, não existem riscos aceitáveis; por isso, todos os riscos devem ser controlados, evitados ou transferidos.

Answer

Segundo a norma ISO 27002 (pag. 6), acerca dos riscos, pode-se:

Mitigar: Aplicar controles apropriados para reduzir riscos,;

Aceitar: Conhecer e objetivamente aceitar os riscos, sabendo que eles atendem claramente à política da organização e aos critérios para a aceitação de risco;

Evitar: Evitar riscos, não permitindo ações que poderiam causar a ocorrência de riscos;

Trasferir: Trasferir os ridcos associados para outras partes, por exemplo, seguradoras ou fornecedores;

Answer

Questão errada porque diz que não existem riscos aceitáveis. Pois de acordo com a norma, riscos podem sim ser aceitáveis:

4.2 Tratando os riscos de segurança da informação
Convém que, antes de considerar o tratamento de um risco, a organização defina os critérios para determinar se os riscos podem ser ou não aceitos. Riscos podem ser aceitos se, por exemplo, for avaliado que o risco é baixo ou que o custo do tratamento não é economicamente viável para a organização.

ISO 27002

Answer

Segundo a ISO 27002:2013,"0.2 Requisitos de segurança da informação

A ABNT NBR ISO/IEC 27005 fornece diretrizes sobre gestão de riscos de segurança da informação, incluindo orientações sobre avaliação de riscos, tratamentos de riscos, aceitação de riscos, comunicação de riscos, monitoramento e análise critica dos riscos."

Answer

Prezados,

Os controles devem ser implementados até que se atinga um nível aceitável de aceitação dos riscos , ou que eles sejam mitigados ou transferidos.
Dentre os riscos , as respostas que podemos dar a eles é a mitigação dele, transferência ou a aceitação do risco, desde que se julgue que o custo para implementar o controle não compensa o impacto desse risco.

Portanto a questão está errada.

SóProvas

Continue usando...

O que está incluso