ID 708880 Banca FCC Órgão MPE-PE Ano 2012 Provas FCC - 2012 - MPE-PE - Analista Ministerial - Informática Disciplina Segurança da Informação Assuntos Análise de Vulnerabilidade e Gestão de Riscos Sobre o gerenciamento de riscos é correto afirmar: Alternativas Convém que a análise/avaliação de riscos considere apenas os recursos de processamento das informações, e inclua os resultados específicos da segurança da informação. Os processos de negócio não são relevantes nesse contexto. Os resultados da análise/avaliação de riscos ajudarão a direcionar e a determinar as ações gerenciais apropriadas e as prioridades para o gerenciamento dos riscos da segurança da informação, e para a implementação dos controles selecionados para a proteção contra estes riscos. A análise/avaliação de riscos deve contemplar todos os riscos internos e externos que podem afetar a continuidade do negócio, porém, não deve ser repetida periodicamente. Uma vez que os riscos tenham sido identificados e as decisões para o tratamento dos riscos tenham sido tomadas, é necessário que controles sejam implementados para assegurar que todos os riscos sejam eliminados, ou seja, reduzidos zero. A seleção de controles de segurança da informação depende exclusivamente das decisões da organização, baseadas nos critérios para aceitação de risco. Nesse contexto, as legislações e regulamentações nacionais são irrelevantes. Responder Comentários A questão pode ser resolvida tendo como base a Norma ISO 27002, na seção 4 (análise/avaliação e tratamento de riscos).A letra a está errada porque "Convém que as análises/avaliações de riscos identifiquem, quantifiquem e priorizem os riscos com base em critérios para aceitação dos riscos e dos objetivos relevantes para a organização". Portanto, os processos de negócio são relevantes nesse contexto.A letra b está certa, conforme consta no controle 4.1 (Analisando/avaliando os riscos de segurança da informação): "Convém que os resultados orientem e determinem as ações de gestão apropriadas e as prioridades para o gerenciamento dos riscos de segurança da informação, e para a implementação dos controles selecionados, de maneira a proteger contra estes riscos"A letra c está errada porque a análise/avaliação de riscos deve ser realizada periodicamente, conforme consta no controle 4.1: "Convém que as análises/avaliações de riscos também sejam realizadas periodicamente, para contemplar as mudanças nos requisitos de segurança da informação e na situação de risco, ou seja, nos ativos, ameaças, vulnerabilidades, impactos, avaliação do risco e quando uma mudança significativa ocorrer"A letra d está errada porque, uma vez identificados os riscos, os controles a serem implementados depedem das decisões tomadas (Controle 4.2, Tratando os riscos de segurança da informação) e os riscos podem ser considerados aceitáveis, por exemplo. A alternativa diz que todos os riscos devem ser eliminados, o que não é verdade.A letra e está errada porque "Convém que os controles assegurem que os riscos sejam reduzidos a um nível aceitável, levando-se em conta:a) os requisitos e restrições de legislações e regulamentações nacionais e internacionais;b) os objetivos organizacionais;..." A)Errado. Processos de negócios são importantes na avaliação de risco. B)Correta. C)Errado. Deve sempre ser repetida. D)Errado. Não é obrigatório que se elimine todos riscos, mas que sejam reduzidos. E)Errado. Os critérios da organização deve respeitar as legislações e regulamentações. A letra B está certa, pois direciona e determina, ou seja manda implementar ações de controle para determinados riscos envolvidos.