SóProvas

ID
4846189
Banca
CESPE / CEBRASPE
Órgão
Ministério da Economia
Ano
2020
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca da gestão de riscos da segurança da informação, julgue os itens subsecutivos, com base na norma ISO/IEC 27005.

O processo de tratamento de riscos deve ter como entrada uma lista dos riscos classificados por prioridade de tratamento.

Alternativas
Comentários

  • É extremamente importante ter mapeado as entradas, saídas e ações das principais atividades do processo de gestão de risco. Além de saber descrever o processo numa possível discursiva, vai ajudar a resolver inúmeras questões. Veja:

     

    Definição de contexto

    Entrada: informações relevantes sobre a organização

    Ação: estabelecer o contexto interno e externo

    Saída: critérios básicos (critérios de avaliação, impacto e aceitação de risco), limites e escopo e uma organização de processos apropriado

    _____________________________________________________

     

    Processo de avaliação (macro)

    Entrada: critérios básicos, limites e escopo e organização de processos apropriado

    Ação: identificar, quantificar e priorizar os riscos 

    Saída:  lista de riscos ordenados por prioridade 

     

    Identificação dos Riscos

    Entrada: critérios básicos, limites e escopo e organização de processos apropriado

    Ação: identificar ativos, ameaças, consequências, vulnerabilidades e controles existentes (eventos que causem impactos)

    Saída: lista de riscos 

     

    Análise de Risco 

    Entrada: lista de riscos 

    Ação: Medir o valor do impacto de forma qualitativa ou quantitativa, avaliar consequências e probabilidades e determinar o nível do risco

    Saída: lista de riscos com níveis de valores (probabilidade e consequências)

     

    Avaliação

    Entrada: lista de riscos com níveis de valores (probabilidade e consequências)

    Ação: Comparar níveis de riscos com os critérios de avaliação

    Saída: lista de risco priorizadas (ordenadas por prioridade)

    _____________________________________________________

     

    Tratamento de Risco

    Entrada: lista dos riscos priorizados 

    Ação: controles para modificar, evitar, reter e compartilhar 

    Saída: Plano de tratamento de Riscos 

    _____________________________________________________

     

    Aceitação de Riscos

    Entrada: Plano de tratamento de Riscos 

    Ação: Decisão de Aceitar

    Saída: Lista de riscos aceitos 

     

    Conforme mostrado, o processo de Tratamento de Risco recebe como entrada uma lista de risco priorizada e, após propor uma resposta ao risco, tem como saída um plano de tratamento. 

     

    Portanto, gab C.

  • @Lucas Bulcão! OBRIGADO!

  • DATA CM - definição de contexto, análise/avaliação, tratamento, aceitação, comunicação e melhoria

    1) Definição de contexto - define os critérios de aceitação do risco

    2) Análise / Avaliação: dividido em 3 partes:

    2.1) Identificação: identifica os riscos

    2.2) Análise: avalia os riscos e as consequências, é aqui que entra aquela bosta de análise quantitativa x qualitativa

    2.3) Avaliação: prioriza os riscos de acordo com os critérios

    3) Tratamento: se define o que vai ser feito pra tratar cada risco. Usa o MATE (mitigar, aceitar, transferir ou evitar)

    4) Aceitação: onde os GESTORES decidem se aceitam ou não os riscos e seus tratamentos

    5) Comunicação: alguma besteira inútil

    6) Melhoria: inútil

    Fonte: confia em mim