-
CORRETO.
Gostaria de compartilhar uma imagem que é importante ser memorizada com relação à norma de Gestão de Risco de SI (27005)
http://screencast.com/t/hJwVZwJDe6t
-
Completando:
A Estimativa de risco se divide em (Estimativa Qualitativa e Estimativa Quantitativa), com a Avaliação de Consequência e a Avaliação de Probabilidade, no final temos o resultado com os Níveis de Risco.
-
Quase todo ciclo de melhoria contínua segue o Ciclo de Demming (PDCA) de alguma forma, com alguma particularização.
Com os processos de Gestão e Segurança da Informação, isso é especialmente forte: as GSI/PR, ITIL, as ISO 27000, COBIT seguem isso.
O site de onde veio esta figura, adaptada da ISO 27005, tem um bom material, que divaga um bocado no assunto pra ser colocado aqui.
Fonte:http://www.qsp.org.br/artigo_27005.shtml
-
CERTO
Segundo a ISO 27005, "
8.1 Descrição geral do processo de análise/avaliação de riscos de segurança da informação
A análise/avaliação de riscos consiste nas seguintes atividades:
* Análise de riscos (Seção 8.2) compreende:
- Identificação de riscos (Seção 8.2.1)
- Estimativa de riscos (Seção 8.2.2)
* Avaliação de riscos (Seção 8.3)"
-
CONFORME A VERSÃO DE 2011, ESTA QUESTÃO ESTARIA 'ERRADO', POIS NESSA VERSÃO A ESTRUTURA MUDOU UM POUCO.
Segundo a ISO 27005:2O11,"
O processo de avaliação de riscos consiste nas seguintes atividades:
-� Identificação de riscos (Seção 8.2)
-� Análise de riscos (Seção 8.3)
-� Avaliação de riscos (Seção 8.4)"