SóProvas

ID
2970319
Banca
CESPE / CEBRASPE
Órgão
CGE - CE
Ano
2019
Provas
Disciplina
Segurança da Informação
Assuntos

Com fundamento na NBR ISO/IEC 27001 e na NBR ISO/IEC 27005, uma organização decidiu implantar um sistema de gestão de segurança da informação (SGSI), a fim de apoiar o processo de gestão dos riscos, os quais foram listados de acordo com o escopo estabelecido para o SGSI.

Nessa situação, após os riscos serem listados, deve ser executada a fase de

Alternativas
Comentários

  • DA ONDE ELE TIROU ESSA PO!$#!#$#@$@#$#@$@#A?

    PROCESSO DE AVALIAÇÃO DE RISCOS:

    entrada: Definição de Contexto

    2018

    A Norma ABNT NBR ISO/IEC 27005:2011 recomenda que o processo de avaliação de riscos de segurança da informação receba como entrada

    A os critérios básicos, o escopo e os limites da avaliação de riscos e a organização do processo de gestão de riscos de segurança da informação que se está definindo.

    B a relação de riscos identificados e as ações para responder adequadamente a cada risco de segurança da informação.

    C a relação de riscos identificados, a probabilidade de cada risco ocorrer, o impacto de cada risco no negócio e as ações para mitigar estes riscos.

    D o plano de tratamento de riscos, o plano de continuidade de negócios e a política de segurança da informação.

    E o escopo da avaliação de riscos, a matriz de probabilidade e impacto de cada risco e o termo de ciência da alta direção em relação aos riscos.

    saída: lista de riscos avaliados, ordenados e priorizados de acordo com os critérios de avaliação

    TRATAMENTO DE RISCOS

    ENTRADA

    Uma lista de riscos priorizada, de acordo com os critérios de avaliação de riscos, em relação aos cenários de incidentes que podem levar a esses riscos.

    2015

    a atividade de tratamento do risco será iniciada somente se a avaliação do risco for satisfatória.

    certa

  • Não entendi este gabarito !!!!!!!!! 

    Na Norma 27001, subseção 6.1.2, serão realizadas a identificação, a análise, a determinação dos níveis e a priorização dos riscos. Após isso, a subseção 6.1.3 irá tratar os riscos.

    Acredito que a letra C também é válida.

    .

    .

    At.te

    Foco na missão ❣

  • Simplesmente a prova mais malfeita que já fiz em minha vida.

  • 4 Análise/avaliação e tratamento de riscos

    4.1 Analisando/avaliando os riscos de segurança da informação

    Convém que as análises/avaliações de riscos

    *identifiquem,

    *quantifiquem e

    *priorizem os riscos

    com base em critérios para aceitação dos riscos e dos objetivos relevantes para a organização.

    Ela deve estar tratando o "quantificar" como "valorar", logo, letra B.

  • O que não faz sentido na questão é ele misturar risco com ativos....

    Afinal é pra valorar os Riscos ou os Ativos?

    Se alguém souber explicar essa questão me manda msg... questão mais confusa que um discurso escrito pela Dilma interpretado pelo Bolsonaro!

  • gabarito aceitável seria a C

  • os Riscos são avaliados de acordo com o valor dos ativos de TI.

  • ISO 27005/2011

    8.3 Análise de riscos

    8.3.2 Avaliação das consequências

    (pág. 22)

    "A valoração dos ativos representa um dos aspectos mais importantes na avaliação do impacto de um cenário de incidente, pois o incidente pode afetar mais de um ativo (por exemplo, os ativos dependentes) ou somente parte de um ativo. Diferentes ameaças e vulnerabilidades causarão diferentes impactos sobre os ativos, como perda da confidencialidade, da integridade ou da disponibilidade. A avaliação das consequências está, portanto, relacionada à valoração dos ativos baseada na análise de impacto no negócio."

  • Ao pé da letra ficaria: Nessa situação, após os riscos serem listados (identificados), deve ser executada a fase de:

    b) Quantificar (valorar) os ativos.

  • A única justificativa que eu achei pra essa aberração foi a hipótese de o examinador ter confundido ativos com riscos

    "Depois de identificar todos os ativos relevantes [...]

    A valoração dos ativos começa com a classificação dos mesmos [...]"

  • Errei essa questão na prova e estou errando aqui pela 53º vez.

  • definir o contexto dos riscos - fase de definição do contexto.

    valorar os ativos - fase de identificação dos riscos.

    tratar os riscos - fase de tratamento dos riscos

    definir critérios de aceitação dos riscos - fase de definição do contexto

    compartilhar os riscos - fase de tratamento dos riscos

  • fase de definição do contexto:

    definir o contexto dos riscos

    definir critérios de aceitação dos riscos

    fase de identificação dos riscos:

    valorar os ativos

    fase de tratamento dos riscos:

    tratar os riscos

    compartilhar os riscos

  • ✅Gabarito(B)

    Não sei se é somente eu, mas eu tenho o critério de quando a questão já tem algum comentário bom, eu não fico comentando só para aumentar meu indicativo de comentários, pois acho que polui o ambiente para quem realmente quer estudar e entender. Nesta questão fiquei atiçado a postar um comentário e sua fonte, por causa de tanta controvérsia e tanta descrição poluída...

    8 Processo de avaliação de riscos de segurança da informação

    8.1 Descrição geral do processo de avaliação de riscos de segurança da informação

    O processo de avaliação de riscos consiste nas seguintes atividades:

    ✓Identificação de riscos;

    ✓Análise de riscos:

    ✓Avaliação de riscos:

    O processo de avaliação de riscos determina o valor dos ativos de informação, identifica as ameaças e vulnerabilidades aplicáveis existentes (ou que poderiam existir), identifica os controles existentes e seus efeitos no risco identificado, determina as consequências possíveis e, finalmente, prioriza os riscos derivados e ordena-os de acordo com os critérios de avaliação de riscos estabelecidos na definição do contexto

    Fonte: ABNT/CB-21 PROJETO DE REVISÃO ABNT NBR ISO/IEC 27005 (ISO/IEC 27005:2011) AGOSTO:2011

    Tecnologia da informação — Técnicas de segurança — Gestão de riscos de segurança da informação

  • Resposta: B - valorar os ativos.