SóProvas

n entendi essa, alguém pode explicar?

Não devem, mas podem... kkkkkkkk É isso?

O que é ISO 27001

ISO/IEC 27001 é a norma que define os requisitos para um Sistema de Gestão da Segurança da Informação (SGSI).

O SGSI é descrito como um sistema parte do sistema de gestão global da organização, com base em uma abordagem de risco do negócio, para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar a segurança da informação. O SGSI inclui estrutura organizacional, políticas, atividades de planejamento, responsabilidades, práticas, procedimentos, processos e recursos. A publicação é muito conhecida entre estudantes de concursos de TI.

A ISO 27001 é a principal norma que uma organização deve utilizar como base para obter a certificação empresarial em gestão da segurança da informação. Por isso, é conhecida como a única norma internacional auditável que define os requisitos para um Sistema de Gestão de Segurança da Informação (SGSI).

O que é ISO 27002 

ISO/IEC 27002 é um código de práticas com um conjunto completo de controles que auxiliam aplicação do Sistema de Gestão da Segurança da Informação.

O que é a ISO 27005

A norma da Associação Brasileira de Normas Técnicas (ABNT) ISO/IEC 27005/2008 fornece diretrizes e descreve um processo genérico para a Gestão de Risco de Segurança da Informação de uma organização.

Manda quem pode obedece quem tem juízo.

[Dúvida]

Acho que a questão está errada porque o texto no comando da questão não deve está contida na norma ISO, é isso galera?

Não acho que tomadores de decisão de nível intermediário possam passar por cima da política de risco da organização.

Norma 27.005 → Gestão de Riscos em Segurança da Informação (GRSI)

.

.

.

Aceitação dos riscos

• Diretrizes:
• convém que os planos de tratamento do risco descrevam como os riscos avaliados serão tratados para atender os critérios de aceitação;
• convém que os gestores responsáveis façam análise crítica e aprovem:

- os planos propostos de tratamento de risco;

- os riscos residuais resultantes, e;

- que registrem as condições associadas a essa aprovação;

• eventualmente, os tomadores de decisão podem ter que aceitar riscos que não satisfaçam os critérios normais pois pode não existir um limite bem definido de aceitabilidade;
• convém que o tomador de decisão justifique e comente sua decisão de não seguir os critérios normais para aceitar os riscos;

Conforme a norma, gabarito: CERTO

Os diretores da empresa podem fazer o que bem entenderem, que se foda a opinião dos especialistas em segurança de TI.

Não deviam, mas podem.

Podem, e quando fizerem vão ter que justificar por escrito do pq não estão seguindo a norma.

ISO 27005/2019 Pag. 25:

"Em alguns casos, o nível de risco residual pode não satisfazer os critérios de aceitação do risco, pois os critérios aplicados não estão levando em conta as circunstâncias predominantes no momento. Por exemplo, pode ser válido argumentar que é preciso que se aceite o risco, pois os benefícios que o acompanham são muito atraentes ou porque os custos de sua modificação são demasiadamente elevados. Tais circunstâncias indicam que os critérios para a aceitação do risco são inadequados e convém que sejam revistos, se possível. No entanto, nem sempre é possível rever os critérios para a aceitação do risco no tempo apropriado. Nesses casos, os tomadores de decisão podem ter que aceitar riscos que não satisfaçam os critérios normais para o aceite. Se isso for necessário, convém que o tomador de decisão comente explicitamente sobre os riscos e inclua uma justificativa para a sua decisão de passar por cima dos critérios normais para a aceitação do risco."

uma coisa é:

• eventualmente, os tomadores de decisão podem ter que aceitar riscos que não satisfaçam os critérios normais pois pode não existir um limite bem definido de aceitabilidade;

Outra coisa é a redação da questão, cabe recurso....PODE TER QUE(uma exceção) é totalmente de PODEM(uma regra)....