SóProvas

ID
770734
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Com base nos aspectos gerais da norma ABNT NBR ISO/IEC27002, que estabelece o código de prática para a gestão da segurança da informação, julgue os itens que se seguem.

Uma análise de riscos deve ser realizada periodicamente em um ambiente computacional, principalmente quando houver a mudança nos requisitos de segurança ou quando surgirem novas ameaças ou vulnerabilidades que ponham em risco a segurança.

Alternativas
Comentários

  • CERTO. 

    Segudo a ISO 27002, Termos e Definições,

    "2.11 análise/avaliação de riscos:processo completo de análise e avaliação de riscos"

    Segundo a ISO 27002, 4.1 Analisando/avaliando os riscos de segurança da informação,

    "Convém que as análises/avaliações de riscos também sejam realizadas periodicamente, para contemplar as mudanças nos requisitos de segurança da informação e na situação de risco, ou seja, nos ativos, ameaças, vulnerabilidades, impactos, avaliação do risco e quando uma mudança significativa ocorrer."


  • Para mim, a resposta estaria INCORRETA. Pois a norma convém e não obriga

    Portanto a palavra deve no texto "Uma análise de riscos DEVE ser realizada periodicamente em um ambiente computacional,". estaria incorreta.

    Além disso, a análise de risco não deve ser necessariamente ser realizada em ambiente computacional.