SóProvas


ID
5036542
Banca
CESPE / CEBRASPE
Órgão
CODEVASF
Ano
2021
Provas
Disciplina
Segurança da Informação
Assuntos

Considerando as disposições das normas ISO 27001, ISO 27002 e NBR ISO/IEC 27005, julgue o item a seguir.


No processo de tratamento de riscos de segurança da informação, a organização deve assegurar que as contínuas avaliações de riscos de segurança da informação produzam resultados comparáveis e válidos.

Alternativas
Comentários
  • Será que foi o termo "comparáveis" que invalidou a questão?

  • Analisei algumas literaturas e não achei nada muito claro. Acredito que o erro seja determinar que encontrará um resultado e que este será comparável e válido.

    ABNT NBR ISO/IEC 27005:2011

    3.17 tratamento de riscos processo para modificar o risco

    NOTA 1 O tratamento de risco pode envolver:

    • a ação de evitar o risco pela decisão de não iniciar ou descontinuar a atividade que dá origem ao risco;
    • assumir ou aumentar o risco, a fim de buscar uma oportunidade;
    • a remoção da fonte de risco;
    • a alteração da probabilidade (likelihood);
    • a alteração das consequências;
    • o compartilhamento do risco com outra parte ou partes [incluindo contratos e financiamento do risco]; e
    • a retenção do risco por uma escolha consciente.

    NOTA 2 Os tratamentos de riscos relativos a consequências negativas são muitas vezes referidos como "mitigação de riscos", "eliminação de riscos", "prevenção de riscos" e "redução de riscos".

    NOTA 3 O tratamento de riscos pode criar novos riscos ou modificar riscos existentes.

  • Acredito que o erro está relacionado com o processo citado ("tratamento de riscos").

    De acordo com a norma:

    6.1.2 Avaliação de riscos de segurança da informação

    "A organização deve definir e aplicar um processo de avaliação de riscos de segurança da informação

    que assegure que as contínuas avaliações de riscos de segurança da informação produzam resultados

    comparáveis, válidos e consistentes"

  • Acredito que a questão foi errada porque não foi informada a palavra "consistente" conforme escrita na ISO 27.001.

    6.1.2 Avaliação de riscos de segurança da informação

    b) assegure que as contínuas avaliações de riscos de segurança da informação produzam resultados comparáveis, válidos e consistentes;

  • Errado Restringiu a Válidos e Comparáveis. Deveria ter feito constar Consistente.
  • Não entendi. Fonte???????

  • ✅Gabarito(Errado)

    Amigos, resumindo...

    O erro está em mencionar o processo "6.1.3 Tratamento de riscos de segurança da informação."

    O correto é:

    6.1.2 Avaliação de riscos de segurança da informação

    "assegure que as contínuas avaliações de riscos de segurança da informação produzam resultados comparáveis, válidos e consistentes;"

    Nota: Alguns falaram que o erro estaria na forma de restrição, porém tomem cuidado com esse termo. Restringir quando há: "apenas", "somente", "sem exceção"....

    Qualquer ponto negativo, avisem por favor...e vamos em frente estudando, torcendo para que tudo retorne ao seu eixo...pandemia louca!!

    Fonte: ABNT/CB-21 PROJETO ABNT NBR ISO/IEC 27001 SET 2013

  • Faz tempo que não vejo uma questão assim. Achava que incompleto não significava errado rsrsrs

    Errei agora, e vou errar sempre

    Eu vou ter que discordar do parceiro Luciano. Não achei nada na norma demonstrando o que ele disse (por favor se eu estiver errado desconsidere)

    O Erro está em dizer válidos. Ora uma empresa de segurança também deve considerar (e muito) os resultados inválidos, para documentar todos tipos de testes possíveis. Estamos falando de ssegurança

    Explicação

    no item 4.2.1c diz

    4.2.1 Estabelecer o SGSI

    c) Definir a abordagem de análise/avaliação de riscos da organização.

    c.2) Desenvolver critérios para a aceitação de riscos e identificar os níveis aceitáveis de risco 

    A metodologia de análise/avaliação de riscos selecionada deve assegurar que as análises/avaliações de riscos

    produzam resultados comparáveis e reproduzíveis

    Fonte(a própria norma): https://jkolb.com.br/wp-content/uploads/2016/09/ABNT-NBRISOIEC27001-20060331Ed1.pdf

  • Assertiva ERRADA.

    .

    Pra quem não entendeu os comentários dos colegas, eis a resolução. A questão estaria correta se fosse escrita assim:

    "No processo de avaliação de riscos de segurança da informação, a organização deve assegurar que as contínuas avaliações de riscos de segurança da informação produzam resultados comparáveis e válidos."

  • ERRADO

    6 Planejamento

    6.1 Ações para contemplar riscos e oportunidades

    6.1.2 Avaliação de riscos de segurança da informação

    A organização deve definir e aplicar um processo de avaliação de riscos de segurança da informação que:

    a) estabeleça e mantenha critérios de riscos de segurança da informação que incluam:

    1) os critérios de aceitação do risco; e

    2) os critérios para o desempenho das avaliações dos riscos de segurança da informação;

    b) )assegure que as contínuas avaliações de riscos de segurança da informação produzam resultados comparáveis, válidos e consistentes;