SóProvas

ID
2947021
Banca
IADES
Órgão
AL-GO
Ano
2019
Provas
Disciplina
Segurança da Informação
Assuntos

Uma organização precisa encarregar-se dos seguintes passos ao estabelecer, monitorar, manter e melhorar o próprio SGSI (sistema de gestão de segurança da informação):

  identificar ativos de informação e seus requisitos de segurança da informação associados;

  avaliar os riscos à segurança da informação e tratar  esses riscos;

  selecionar e implementar controles relevantes para gerenciar riscos inaceitáveis; e

  monitorar, manter e melhorar a efetividade dos controles associados com os ativos e informação da empresa.

 International Organization for Standardization. ISO/IEC 27000:  Information security management systems, 2018. Tradução livre.


 A ISO 27000 menciona um conjunto de passos necessários para implementar um SGSI. Um desses passos é responsável por identificar, quantificar e priorizar os perigos, considerando critérios de aceitação das ameaças e os objetivos relevantes da organização. Esse passo é

Alternativas
Comentários

  • Segundo Item 4.5.3 Avaliação de riscos de segurança da informação da norma ISO/IEC 27000

    Gestão de riscos de segurança da informação exige um método de avaliação de riscos e tratamento de riscos adequada que pode incluir uma estimativa dos custos e benefícios, requisitos legais, as preocupações das partes interessadas e outros insumos e variáveis conforme o caso.

    A avaliação de risco deve identificar, quantificar e priorizar os riscos contra os critérios de aceitação de riscos e objetivos relevantes para a organização. Os resultados devem orientar e determinar a ação de gerenciamento apropriado e prioridades para a gestão de riscos de segurança da informação e para a implementação de controles selecionados para proteger contra esses riscos. A avaliação de risco deve

    incluir:

    - a abordagem sistemática de estimar a magnitude dos riscos (análise de risco); e

    - o processo de comparar os riscos estimados com base em critérios de risco para determinar a significância dos riscos (avaliação de risco).

    A avaliação de riscos deve ser realizada periodicamente para abordar as mudanças nos requisitos de segurança da informação e em situação de risco, por exemplo, nos ativos, ameaças, vulnerabilidades, impactos, a avaliação de risco, e quando ocorrem mudanças significativas. Estas avaliações de riscos devem ser realizadas de forma metódica capaz de produzir resultados comparáveis e reprodutíveis.

    A avaliação de risco de segurança da informação deve ter um âmbito claramente definido, a fim de ser eficaz e deve incluir as relações com as avaliações de risco em outras áreas, se for o caso. ISO/IEC 27005 fornece informações de orientação de gerenciamento de riscos de segurança, incluindo conselhos sobre a avaliação de risco, o tratamento do risco, aceitação do risco, relatórios de risco, monitoramento de riscos e análise de risco. Exemplos de metodologias de avaliação de risco são incluídos também.

  • Avaliação dos riscos manter critérios de riscos, identificar, analisar, priorizar os riscos (...)

    Tratamento dos riscos determinar os controles, elaborar a declaração e aplicabilidade, preparar um plano (...)

    .

    .

    At.te

    Foco na missão