Questão Q1865018

A norma NBR ISO/IEC 27005:2011, que fornece diretrizes para o processo de gestão de riscos de segurança da informação,

Alternativas

está de acordo com os conceitos especificados na ABNT NBR ISO/IEC 27003, que lida com a gestão de riscos.

se restringe, em termos de aplicação, a empreendimentos governamentais.

considera que apenas o método padronizado Risk Evaluation pode ser aplicado, independentemente da abordagem da gestão de risco.

pode necessitar, se o risco não for aceitável durante seu ciclo de aplicação, de outras iterações do processo de avaliação de riscos, com mudanças nas variáveis do contexto.

não estabelece critério ou consideração sobre entrada de dados no processo de gestão de risco.

Comentários

Segundo a norma:

Uma vez que o plano de tratamento do risco tenha sido definido, os riscos residuais precisam ser determinados. Isso envolve uma atualização ou uma repetição do processo de avaliação de riscos, considerando-se os efeitos previstos do tratamento do risco que foi proposto. Caso o risco residual ainda não satisfaça os critérios para a aceitação do risco da organização, uma nova iteração do tratamento do risco pode ser necessária antes de se prosseguir à aceitação do risco
Gabarito: D
A norma 27005 busca determinar de forma eficaz as ações necessárias para reduzir os riscos a um nível aceitável.Quando o tratamento não resulta em em um risco residual aceitável pode ser necessária uma outra iteração do processo de avaliação de riscos, com mudanças nas variáveis do contexto por exemplo:
- os critérios para o processo de avaliação de riscos;
- de aceitação do risco e de impacto;
Seguida por uma fase adicional de tratamento do risco.
Bjus pra tia Lea!

SóProvas

Continue usando...

O que está incluso