A organização deve definir e aplicar um processo de avaliação de riscos de Sistema de Informação que:
• estabeleça e mantenha os critérios de aceitação do risco e de desempenho das avaliações dos riscos de SI;
• assegure que as contínuas avaliações de riscos de SI produzam resultados comparáveis, válidos e consistentes;
• identifique os riscos de SI e seus responsáveis;
• analise os riscos de SI, avaliando suas consequências potenciais, a probabilidade realística de ocorrência e os níveis de risco;
• avalie os riscos de SI, comparando os resultados da análise dos riscos com os critérios de riscos estabelecidos e priorizando os riscos analisados para o tratamento do risco.
JUSTIFICATIVA CEBRASPE: CERTO. Segundo a NBR ISO/IEC n.º 27005, a etapa de estimativa de riscos é realizada logo após a identificação de riscos, quando já estão levantados e identificados, dentro do escopo acordado, os ativos, as ameaças, as vulnerabilidades e suas consequências para os ativos e negócios.
FONTE: https://arquivos.qconcursos.com/prova/arquivo_gabarito/83437/cespe-cebraspe-2021-pg-df-analista-juridico-analista-de-sistema-desenvolvimento-de-sistema-gabarito.pdf?_ga=2.38811299.1676441036.1634834989-804191472.1621542668&_gac=1.190217433.1636415885.Cj0KCQiAsqOMBhDFARIsAFBTN3fprraZgGJbpWTl4j2E5X2D_hkvsouR-BFLacSnDATQFiS2gsajuTQaAq_tEALw_wcB