SóProvas

ID
480178
Banca
FCC
Órgão
INFRAERO
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

De acordo com a ISO/IEC 27005:2008, as opções completas para tratamento do risco são: mitigar (risk reduction),

Alternativas
Comentários
  • 1) Retenção do risco -> Aceitação do ônus da perda ou do benefício do ganho associado a um determinado risco. (No contexto dos riscos de segurança da informação, somente consequências negativas (perdas) são consideradas para a retenção do risco).

    2) Ação de evitar o risco -> decisão de não se envolver ou agir de forma a se retirar de uma situação de risco.

    3) Transferência do risco -> Compartilhamento com uam outra entidade do ônus da perda associado a um risco.


    Completando a questão, esta faltando o item Redução do risco -> Ações tomadas para reduzir a probablilidade, as consequências negativas ou ambas associadas a um risco.

    Todos esse itens encontram-se na Seção 9 "Tratamento do risco de segurança da informação" da NBR ISO/IEC 27005.


    Fonte: (Curso on-line Segurança da informação. Prof. Gleyson)
  • A norma 27002 segue uma classificação de riscos bem semelhante ao PMBOK.
    Mais informação sobre tratamento de riscos pode ser obtida na norma 27005
  • As quatro opções para tratamento dos riscos são: REDUZIR, RETER(aceitar), EVITAR ou TRANSFERIR.
  • Medidas de tratamento de risco
    • Evitar: Não se expor a situação de risco;
    • Transferir: fazer um seguro para cobrir eventuais prejuízos;
    • Reter: fazer um auto-seguro;
    • Reduzir: implementar uma proteção que reduza o risco;
    • Mitigar: tomar medidas que diminuam apenas o impacto;
    • Aceitar um risco também é uma forma de tratá-lo.

  • letra B.

    Segundo a ISO 27005,

    "9 Tratamento do risco de segurança da informação

    9.1 Descrição geral do processo de tratamento do risco

    Diretrizes para implementação:

    Há quatro opções disponíveis para o tratamento do risco: redução do risco (ver 9.2), retenção do risco (ver 9.3), evitar o risco (ver 9.4) e transferência do risco (ver 9.5).

    NOTA A ABNT NBR ISO/IEC 27001 4.2.1.f) 2) usa o termo “aceitação do risco” em vez de “retenção do risco”."


  • Velho MATE – mitigar, aceitar, transferir e evitar.

    Mitigar = a solução irá diminuir a probabilidade e/ou impacto do risco

    Aceitar/ Reter = não fazer nada. Não vale a pena desenvolver alguma ação

    Transferir = transferir a responsabilidade do risco para um terceiro. 

    Eliminar = eliminação total do risco. 

  • Segundo a redação da nova ISO 27005:2011,

    9.1 Descrição geral do processo de tratamento do risco

    Há quatro opções disponíveis para o tratamento do risco: modificação do risco (ver 9.2), retenção do risco (ver 9.3), ação de evitar o risco (ver 9.4) e compartilhamento do risco (ver 9.5).