Questão Q921064

A Norma ABNT NBR ISO/IEC 27005:2011 recomenda que o processo de avaliação de riscos de segurança da informação receba como entrada

Alternativas

os critérios básicos, o escopo e os limites da avaliação de riscos e a organização do processo de gestão de riscos de segurança da informação que se está definindo.

a relação de riscos identificados e as ações para responder adequadamente a cada risco de segurança da informação.

a relação de riscos identificados, a probabilidade de cada risco ocorrer, o impacto de cada risco no negócio e as ações para mitigar estes riscos.

o plano de tratamento de riscos, o plano de continuidade de negócios e a política de segurança da informação.

o escopo da avaliação de riscos, a matriz de probabilidade e impacto de cada risco e o termo de ciência da alta direção em relação aos riscos.

Comentários

Senhores, questão muito específica mesmo, grau de dificuldade altissimo.

A norma recomenda um roteiro para a GRSI: de forma bem resumida, seria 1 - Contextualização, 2 - Análise de Risco e 3 - Avaliação do Risco.

Dentro do tópico 1 - Contextualização estaria o gabarito. ""É necessário que seja definido o seguinte conjunto de elementos:
- o escopo, o objetivo, os métodos a serem considerados, os critérios básicos (avaliação, impacto e tratamento de risco) referentes à gestão a ser realizada e a área organizacional responsável pelo processo de GRSI.""

http://www.techoje.com.br/site/techoje/categoria/impressao_artigo/889
8.1 Descrição geral do processo de avaliação de riscos de segurança da informação
Entrada: Critérios básicos, o escopo e os limites, e a organização do processo de gestão de riscos de
segurança da informação que se está definindo.

Ou decora ou decora a norma.
Letra A

8 Processo de avaliação de riscos de segurança da informação

8.1 Descrição geral do processo de avaliação de riscos de segurança da informação

Entrada: Critérios básicos, o escopo e os limites, e a organização do processo de gestão de riscos de segurança da informação que se está definindo.

Ação: Convém que os riscos sejam identificados, quantificados ou descritos qualitativamente, priorizados em função dos critérios de avaliação de riscos e dos objetivos relevantes da organização.

Diretrizes para implementação:
Um risco é a combinação das consequências advindas da ocorrência de um evento indesejado e da probabilidade da ocorrência do mesmo. O processo de avaliação de riscos quantifica ou descreve o risco qualitativamente e capacita os gestores a priorizar os riscos de acordo com a sua gravidade percebida ou com outros critérios estabelecidos.

O processo de avaliação de riscos consiste nas seguintes atividades:
-� Identificação de riscos (Seção 8.2)
�- Análise de riscos (Seção 8.3)
�- Avaliação de riscos (Seção 8.4)

Fonte: ISO 27005:2011 - pág. 21
Gabarito A

Avaliação de riscos
Determinar a prioridade de cada risco através de uma comparação entre o nível estimado do risco e o nível aceitável estabelecido pela organização. Verifica se a avaliação dos riscos foi satisfatória, conforme os critérios estabelecidos pela organização. Caso não seja satisfatória, a atividade pode ser reiniciada de forma que se possa revisar, aprofundar e detalhar ainda mais a avaliação, assegurando que os riscos possam ser adequadamente avaliados.

As atividades de Análise e Avaliação de Riscos são associadas com os padrões Asset Valuation, Threat Assessment, Vulnerability Assessment, Enterprise Security Approaches e Risk Determination. A aplicação destes padrões possibilita determinar a importância dos ativos para os negócios da empresa, avaliar as ameaças para estes ativos e suas probabilidades de ocorrerem e avaliar a gravidade das vulnerabilidades encontradas. Com isso, a empresa é capaz de determinar e priorizar os riscos dos ativos para, posteriormente, escolher qual a melhor abordagem de proteção. Além disso, ao aplicar o padrão Threat Assessment as diretrizes da atividade Identificação dos Riscos são consequentemente atendidas.

"Retroceder Nunca Render-se Jamais !"
Força e Fé !
Fortuna Audaces Sequitur !
Definição de COntexto - CEO

criterios + escopo + organizacao

criterios --> avaliacao, impacto, aceitacao

2014
A perda de uma oportunidade de negócio devido a um evento de segurança da informação é considerada um critério de impacto.
certa

No desenvolvimento dos critérios básicos para a avaliação, o impacto e a aceitação de riscos consideram, entre outros itens, o valor estratégico do processo, a criticidade dos ativos de informação, a perda de oportunidades e os danos à reputação.

De acordo com a ABNT NBR ISO/IEC 27005:2011, o desenvolvimento desses critérios básicos no processo de gestão de riscos de segurança da informação, é realizado

Estabelecimento do contexto: cria ou ajusta o contexto para execução da GRSI, produzindo (i) a especificação dos critérios básicos para gestão de riscos; (ii) a especificação do escopo e limites cujos riscos serão geridos e (iii) uma organização preparada para operar a gestão de riscos.

próxima etapa é o PROCESSO DE AVALIAÇÃO DE RISCOS, que consiste em:

ANÁLISE ==> identificação + estimativa
AVALIAÇÃO

Este processo recebe como entrada a saída do processo anterior

SóProvas

Continue usando...

O que está incluso