Questão Q918875

De acordo com a norma ISO ABNT NBR ISO/IEC 27005:2011, é correto afirmar que:

Alternativas

o processo de identificação de ativos deve limitar-se ao escopo estabelecido para a gestão de riscos.

considerando a natureza estática dos riscos, a revisão dos mesmos somente será necessária no caso de inclusão de novos ativos no escopo da gestão de riscos.

a presença de vulnerabilidades, por si só, requer a previsão de controles para a mitigação dos riscos.

as informações sobre riscos devem ser protegidas e restritas ao tomador de decisão e à equipe técnica de análise de riscos.

a metodologia de análise de riscos deve ser quantitativa, de modo a serem utilizados valores numéricos para os riscos.

Comentários

A) CORRETA. Tanto é que a norma estabelece como "Definição do contexto" o primeiro passo para a gestão de risco eficiente.
A presença de uma vulnerabilidade não causa prejuízo por si só, pois precisa haver uma ameaça presente para explorá-la. Uma vulnerabilidade que não tem uma ameaça correspondente pode não requerer a implementação de um controle no presente momento
A) Correto, o escopo é definido na etapa anterior, Definição de Contexto.
B) Errado. Riscos não são estáticos. Uma vulnerabilidade pode ser exposta a novas ameaças conforme o tempo passa. Por isso a análise crítica regular é recomendável.
C) Errado. Conforme o colega pontuou, deve haver uma vulnerabilidade e uma ameaça associada a ela para justificar a implementação de um controle.
D) Errado. Além destas figuras, a norma prevê que qualquer parte interessada tenha acesso às informações.
E) Errado. A metodologia de análise pode ser quantitativa, qualitativa ou uma combinação de ambas.

Fonte: ISO 27005:2011

SóProvas

Continue usando...

O que está incluso