SóProvas

ID
770671
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de gestão de segurança da informação, seus conceitos e definições, julgue os itens que se seguem.


A atividade de avaliação de riscos em segurança da informação consiste na identificação de fontes e estimativas de riscos por meio do uso sistemático de informações, obtidas mediante observação.

Alternativas
Comentários
  • ERRADA. A questão trata da ANÁLISE DE RISCO:

    1 - ANÁLISE DE RISCO: Uso sistemático de informações para identificar fontes e estimar o risco. Estimar a magnitude dos riscos.
    2 - AVALIAÇÃO DE RISCOS: Comparar o risco estimado com critérios de risco pré-definidos para determinar a importância do risco. 
    3 - GESTÃO DE RISCOS: Atividades coordenadas para direcionar e controlar uma organização no que se refere a riscos.
    4 - TRATAMENTO DOS RISCOS: Processos de seleção e implementação de medidas para modificar um risco.
  • Na verdade o examinador quis confundir o Processo de Avaliação( Alguns autores o chamam de Avaliação/Análise), que envolve a Identificação, a Análise e a Avaliação dos riscos, com a Atividade de Avaliação propriamente dita.

  • Dá para matar essa questão com o trecho abaixo da norma ISO 27005,  OU com trecho da norma 27002 logo mais abaixo.

    ------------------ISO 27005------------------

    "

    8 Análise/avaliação de riscos de segurança da informação

    8.1 Descrição geral do processo de análise/avaliação de riscos de segurança da informação

    Diretrizes para implementação:

    A análise/avaliação de riscos consiste nas seguintes atividades:

     - Análise de riscos (Seção 8.2) compreende:

                   *Identificação de riscos (Seção 8.2.1)

                   *Estimativa de riscos (Seção 8.2.2)

     - Avaliação de riscos (Seção 8.3)"

    ------------------------ISO 27002----------------------------

    "2. Termos e Definições

    2.10

    análise de riscos: uso sistemático de informações para identificar fontes e estimar o risco

    [ABNT ISO/IEC Guia 73:2005]"


  • Mais um trecho da norma ISO 27002 que pode ser usado para matar esta questão.

    Segundo a ISO 27002,"

    4 Análise/avaliação e tratamento de riscos

    4.1 Analisando/avaliando os riscos de segurança da informação


    Convém que a análise/avaliação de riscos inclua um enfoque sistemático de estimar a magnitude do risco (análise de riscos) e o processo de comparar os riscos estimados contra os critérios de risco para determinar a significância do risco (avaliação do risco). "