-
A) Errada. "Convém que as análises/avaliações de riscos também sejam realizadas periodicamente, para contemplar as mudanças nos requisitos de segurança da informação e na situação de risco, ou seja, nos ativos, ameaças, vulnerabilidades, impactos, avaliação do risco e quando uma mudança significativa ocorrer. Essas análises/avaliação de riscos devem ser realizadas de forma metódica, capaz de gerar resultados comparáveis e reproduzíveis." (pag 26)
B) Errada. Lembrar que as estratégias de tratamento de risco segundo essas normas da família 27000 são 4 (ERRT): Evitar, Reduzir (mitigar), Reter (aceitar) e Transferir. Não existe isso de "ignorar" o risco. Além disso, "Para aqueles riscos onde a decisão de tratamento de risco seja a de aplicar os controles apropriados (...) Convém que os controles assegurem que os riscos sejam reduzidos a um nível aceitável, levando-se em conta: a) os requisitos e restrições de legislaçoes nacionais e internacionais; b) os objetivos organizacionais; c) os requisitos e restrições operacionais; d) Custo de implementação e a operação em relação aos riscos que estão sendo reduzidos e que permanecem proporcionais às restrições e requisitos da organização e) a necessidade de balancear o investimento na implementação e operação de controles contra a probabilidade de danos que resultem em falhas de segurança da informação" (pag 27)
C) Errada. "A gestão de riscos geralmente inclui a análise/avaliação de riscos, o tratamento de riscos, a aceitação de riscos e a comunicação de riscos." (pag 22)
D) Correta. "Convém que a análise/avaliação de riscos inclua um enfoque sistemático de estimar a magnetude do risco (análise de riscos) e o processo de comparar o riscos estimados contra os critérios de risco para determinar a significância do risco (avaliação do risco)." (pag 26)
E) Errada. "O escopo de uma análise/avaliação de riscos pode tanto ser em toda a organização, partes da organização, em um sistema de informação específico, em componentes de um sistema específico ou em serviços onde isto seja praticável, realísitvo e útil." (pag 26)
(Fonte: NBR ISO/IEC 27002, obs: as página são referentes ao "pdf" e não ao "rodapé" da norma)
-
A letra e não está errada não. Os riscos podem surgir em qualquer área de uma organização.
Só que, como de costume, a FCC adota a técnica de colocar mais de uma questão certa, ai o candidato precisa marcar a questão "mais certa", enfim.
Então, a assertiva mais certa é a letra D.
-
Letra E: A Norma diz que "O escopo de uma análise/avaliação de riscos pode tanto ser em toda a organização, partes da organização, em um sistema de informação específico, em componentes de um sistema específico ou em serviços onde isto seja praticável, realísitvo e útil." (pag 26).
O Erro do item está no trecho "deve ser sempre em toda a organização...."
-
Palavra chave da ISO 27002..... Convém
-
Se essa é a justificativa, alguém sabe pq a questão abaixo está errada?
Q1669825
O poder discricionário apenas poderá ser aplicado quando a lei expressamente conceder à administração liberdade para atuar dentro de limites definidos. (errada)
-
Renato,seu comentário está incompleto.
O Poder Discricionário é aquele em que o Poder Público possui faculdade concedida pelo legislador a fim de que se possa praticar atos com base em critérios de oportunidade e conveniência, que integram o mérito administrativo. Dessa forma, não se faz necessária expressa previsão legal concedendo liberdade à Administração Pública para a prática do ato, bastando, por exemplo, que a lei não revele o motivo ou o objeto do ato administrativo, quando se entende que cabe à Administração Pública realizar a análise do mérito administrativo.
Comentário de um professor do Tec.