SóProvas

ID
770767
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação a conteúdo prático, objetivos de controles e diretrizes para implementação recomendados pela norma ABNT NBR ISO/IEC 27002, julgue o item a seguir:


A ação de se evitar um risco, de modo a eliminar a ocorrência de suas consequências e, naturalmente, a realização da atividade que o ocasionaria, não faz parte do tratamento do risco, pois o tratamento refere-se ao risco que se toma, não ao que se evita.

Alternativas
Comentários
  • Na norma ISO/IEC 27002: 4.2 Tratando os riscos de segurança da informação "Possíveis opções para o tratamento do risco, incluem: (...) c) evitar riscos, ão permitindo ações que poderiam causar a ocorrência de riscos".
    Do glossário, o tratamento de risco é o "processo de seleção e implementação de medidas para modificar um risco". Qualquer medida tomada que venha a modificar (e no caso evitar) o risco é um tratamento.
  • O tratamento do risco se faz com META:

    Mitigar
    Evitar
    Transferir
    Aceitar

  • errado, pois evitar o risco é uma das formas de se tratar o risco. Segue mais duas fontes para comprovar isso.

    --------------------ISO 27001------------------------

    "4.2.1 Estabelecer o SGSI

    A organização deve:

    f) Identificar e avaliar as opções para o tratamento de riscos.

    Possíveis ações incluem:

    1) aplicar os controles apropriados;

    2) aceitar os riscos consciente e objetivamente, desde que satisfaçam claramente às políticas da

    organização e aos critérios de aceitação de riscos (ver 4.2.1c)2));

    3) evitar riscos; e

    4) transferir os riscos associados ao negócio a outras partes, por exemplo, seguradoras e fornecedores."

    -----------------------ISO 27005----------------------------

    "9 Tratamento do risco de segurança da informação

    9.1 Descrição geral do processo de tratamento do risco

    Diretrizes para implementação:

    Há quatro opções disponíveis para o tratamento do risco: redução do risco (ver 9.2), retenção do risco (ver 9.3), evitar o risco (ver 9.4) e transferência do risco (ver 9.5)."



  • A ação de evitar os riscos é uma forma de tratamento de riscos. Questão errada, portanto!

    Segue a definição mais atual (ISO/IEC 27.005:2008):

    3.3 ação de evitar o risco: decisão de não se envolver ou agir de forma a se retirar de uma situação de risco.

    Bons estudos!


  • Tratamento de risco: 'MATE'

    Mitigar
    Aceitar
    Transferir
    Evitar