SóProvas

ID
726991
Banca
INSTITUTO CIDADES
Órgão
TCM-GO
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

De acordo com a ISO27001, norma que define os requisitos de um sistema de gestão de segurança da informação, não faz parte do processo de identificação dos riscos:

Alternativas
Comentários

  • A questão trata sobre processo de identificação de Risco.
    Contudo, a norma abarca os conceitos de Processos de tratamento de riscos, qual sejam:
    Evitar o risco;  Transferir o risco (por exemplo: seguro);  Reduzir as vulnerabilidades; Reduzir as ameaças;  Reduzir os possíveis impactos;  Detectar eventos indesejados, reagir e recuperar; Aceitar o risco (residual);
    e Fala também sobre processos de avaliação de riscos:
    Avaliação de risco
    Identificação e valorização dos ativos
    Identificação das vulnerabilidades
    Identificação das ameaças
    Avaliação de impactos que a perda de confidencialidade, integridade e
    disponibilidade nos ativos pode causar
    Análise e avaliação dos riscos
    Priorização dos riscos

    A alternativa incorreta é a letra "A" - Se fosse: Identificar os níveis de risco, por analogia estaria correta.

  • TRECHO DA NORMA QUE RESPONDE A QUESTAO:

    d) Identificar os riscos.
    1) Identificar os ativos dentro do escopo do SGSI e os proprietários destes ativos.
    2) Identificar as ameaças a esses ativos.
    3) Identificar as vulnerabilidades que podem ser exploradas pelas ameaças.
    4) Identificar os impactos que as perdas de confidencialidade, integridade e disponibilidade podem causar
    aos ativos.
    e) Analisar e avaliar os riscos.
    1) Avaliar os impactos para o negócio da organização que podem resultar de falhas de segurança, levando
    em consideração as consequ?ências de uma perda de confidencialidade, integridade ou disponibilidade
    dos ativos.
    2) Avaliar a probabilidade real da ocorrência de falhas de segurança à luz de ameaças e vulnerabilidades
    prevalecentes, e impactos associados a estes ativos e os controles atualmente implementados.
    3) Estimar os níveis de riscos.
    4) Determinar se os riscos são aceitáveis
  • Putz, errei a questão de graça. A questão pede a alternativa que NÃO faz parte da identificação dos riscos. Bastaria lembrar que TODOS os tópicos do processo de identificação de riscos começam com a palavra "identificar" e a alternativa "a" é a ÚNICA que não tem esta palavra.

  • Ano: 2010
    Banca: CESPE
    Órgão: TRT - 21ª Região (RN)
    Prova: Analista Judiciário - Tecnologia da Informação




    Resolvi errado
    texto associado   
    Os processos que fazem parte da análise/avaliação de riscos são identificação de riscos, estimativa de riscos e avaliação de riscos.


    certo