SóProvas

ID
4846174
Banca
CESPE / CEBRASPE
Órgão
Ministério da Economia
Ano
2020
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca da gestão de riscos da segurança da informação, julgue os itens subsecutivos, com base na norma ISO/IEC 27005.

A avaliação dos riscos deve ser feita com base em uma lista dos riscos com valores já atribuídos a eles e com critérios de avaliação já definidos.

Alternativas
Comentários

  • É extremamente importante ter mapeado as entradas, saídas e ações das atividades do processo de gestão de risco. Além de saber descrever o processo numa possível discursiva, vai ajudar a resolver inúmeras questões. Veja:

     

    Definição de contexto

    Entrada: informações relevantes sobre a organização

    Ação: estabelecer o contexto interno e externo

    Saída: critérios básicos (critérios de avaliação, impacto e aceitação de risco), limites e escopo e uma organização de processos apropriado

    __________________________________________________________________

    Processo de avaliação (macro)

    Entrada: critérios básicos, limites e escopo e organização de processos apropriado

    Ação: identificar, quantificar e priorizar os riscos 

    Saída:  lista de riscos ordenados por prioridade 

     

    Identificação dos Riscos

    Entrada: critérios básicos, limites e escopo e organização de processos apropriado

    Ação: identificar ativos, ameaças, consequências, vulnerabilidades e controles existentes (eventos que causem impactos)

    Saída: lista de riscos 

     

    Análise de Risco 

    Entrada: lista de riscos 

    Ação: Medir o valor do impacto de forma qualitativa ou quantitativa, avaliar consequências e probabilidades e determinar o nível do risco

    Saída: lista de riscos com níveis de valores (probabilidade e consequências)

     

    Avaliação

    Entrada: lista de riscos com níveis de valores (probabilidade e consequências)

    Ação: Comparar níveis de riscos com os critérios de avaliação

    Saída: lista de risco priorizadas (ordenadas por prioridade)

    __________________________________________________________________

    Tratamento de Risco

    Entrada: lista de risco priorizadas 

    Ação: controles para modificar, evitar, reter e compartilhar 

    Saída: Plano de tratamento de Riscos 

    __________________________________________________________________

    Aceitação de Riscos

    Entrada: Plano de tratamento de Riscos 

    Ação: Decisão de Aceitar

    Saída: Lista de riscos aceitos 

     

    Conforme supracitado, a avaliação de risco recebe como entrada justamente uma lista de riscos com níveis de valores. Assim, poderá comparar esses níveis com os critérios de avaliação e ordená-los por prioridade. 

     

     

    Portanto, questão correta.

     

    Fonte: ISO 27005

  • Quando se mexe com riscos, todo cuidado é pouco. O processo de avaliação de riscos devem ser feitos para evitar o risco e jamais eliminá-lo , JÁ QUE o termo ELIMINAR é inexistente DO MUNDO DOS RISCOS.

  • Assertiva CORRETA.

    .

    Acho que o glossário ajuda a responder essa:

    .

    avaliação de riscos

    processo para compara os resultados da análise de risco com os critérios de risco para determinar se o risco e/ou sua magnitude é aceitável ou tolerável