SóProvas

Baseando-se na ISO 27005, em relação ao processo de gestão de risco de segurança da informação, analisar a sentença abaixo:

Durante o processo de gestão de riscos de segurança da informação, é importante que os riscos e a forma com que são tratados sejam comunicados ao pessoal das áreas operacionais e gestores apropriados. Mesmo antes do tratamento do risco, informações sobre riscos identificados podem ser muito úteis para o gerenciamento de incidentes e ajudar a reduzir possíveis prejuízos (1ª parte). A conscientização dos gestores e pessoal no que diz respeito aos riscos, à natureza dos controles aplicados para mitigá-los e às áreas definidas como de interesse pela organização auxilia a lidar com os incidentes e eventos não previstos da maneira mais efetiva. Convém que os resultados detalhados de cada atividade do processo de gestão de riscos de segurança da informação, assim como as decisões sobre a análise/avaliação de riscos e sobre o tratamento do risco, sejam documentados (2ª parte). Em um processo de gestão de risco de segurança da informação, primeiramente, deve-se estabelecer o contexto. Em seguida, executa-se uma análise/avaliação de riscos. Se ela fornecer informações suficientes para que se determinem de forma eficaz as ações necessárias para reduzir os riscos a um nível aceitável, então a tarefa está completa e o tratamento de risco pode suceder-se. Por outro lado, se as informações forem insuficientes, executa-se uma outra iteração da análise/avaliação de risco, revisando-se o contexto (por exemplo, os critérios de avaliação de risco, de aceitação do risco ou de impacto), possivelmente em partes limitadas do escopo (3ª parte).

A sentença está: