Plan (planejar) - estabelecer a política, objetivos, processos e procedimentos do SGSI, relevantes para a gestão de riscos e a melhoria da segurança da informação para produzir resultados de acordo com as políticas e objetivos globais de uma organização.
Do (fazer) - implementar e operar a política, controles, processos e procedimentos do SGSI.
Check (checar) - avaliar e, quando aplicável, medir o desempenho de um processo frente à política, objetivos e experiência prática do SGSI e apresenta os resultados p/ a análise crítica pela direção.
Act (agir) - Executar as ações corretivas e preventivas, com base nos resultados da auditoria interna do SGSI e da análise crítica pela direção ou outra informação pertinente, para alcançar a melhoria contínua do SGSI.
Fonte: NBR ISO/IEC 27001
Essa questão realmente gera muita confusão, pois as norma 27001 e 27005 tratam o plano de tratamento de risco em fases diferentes. Vejamos:
27001:
4.2.2 Implementar e Operar o SGSI (DO)
A organização deve:
a) Formular um PLANO DE TRATAMENTO DE RISCO que identifique a ação de gestão apropriada, recursos, responsabilidades e prioridades para a gestão de riscos de segurança. (ver Seção 5).
27005:
6 Visão geral do processo de gestão de riscos de segurança da informação - Pág 6
(...)
Em um SGSI, a definição do contexto, a análise/avaliação de riscos, o DESENVOLVIMENTO DO PLANO DE TRATAMENTO DE RISCOS e a aceitação do risco, fazem parte da fase "PLANEJAR".
Como podemos perceber, na norma 27001, o plano de tratamento de risco é desenvolvido na fase DO, enquanto na norma 27005, é desenvolvido na fase PLAN. Como acertar essa questão? Basta, verificarmos o comando da questão:
"De acordo com a NBR ISO/IEC 27005, julgue os próximos itens."
De acordo com a 27005, o plano de tratamento risco é desenvolvido na fase "planejar", certa a resposta.