SóProvas

ID
781630
Banca
CESPE / CEBRASPE
Órgão
TJ-AL
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

De acordo com a NBR ISO/IEC n.º 27.005/2011, as quatro possíveis ações para o tratamento do risco de segurança da informação correspondem a

Alternativas
Comentários
  • Opções de tratamento para cada risco identificado na Análise e Avaliação de riscos:

    - Aplicar controles apropriados para REDUZIR OS RISCOS.
    - Conhecer e objetivamente RETER OS RISCOS.
    - PREVENIR RISCOS, não permitindo ações que poderiam causar a existência de riscos.
    - TRASNFERIR OS RISCOS  associados para outra parte, por exemplo, fornecedores ou seguradoras.
  • Complementando a resposta do colega acima! 

     a) planejamento, identificação, mitigação e eliminação do risco.
     b)redução, retenção, prevenção e transferência do risco.
     c) identificação, redução, mitigação e eliminação do risco.
     d) retenção, redução, mitigação e transferência do risco.
     e) prevenção, identificação, redução e eliminação do risco.

  • Segue outra fonte

    Segundo a ISO 27005, "

    9 Tratamento do risco de segurança da informação

    9.1 Descrição geral do processo de tratamento do risco

    Diretrizes para implementação:

    Há quatro opções disponíveis para o tratamento do risco: redução do risco (ver 9.2), retenção do risco (ver 9.3), evitar o risco (ver 9.4) e transferência do risco (ver 9.5)."

    --------------------------------------------------------------------

    A FONTE PARA A RESPOSTA DO COLEGA JORGE SE ENCONTRA NA ISO 27002 NA SEÇÃO 4.2 Tratando os riscos de segurança da informação

  • MATE – mitigar, aceitar, transferir e evitar.

    Mitigar = a solução irá diminuir a probabilidade e/ou impacto do risco

    Aceitar/ Reter = não fazer nada. Não vale a pena desenvolver alguma ação

    Transferir = transferir a responsabilidade do risco para um terceiro. 

    Eliminar = eliminação total do risco. 

    Valeu!!!

  • MATE kkkkkkkkk.

  • Deve-se ter cuidado com este tipo de questão, pois a banca as vezes usa sinônimos no lugar das palavras usadas na norma, por exemplo a NBR ISO/IEC n.º 27.005/2011 usa o termo "compartilhar" no lugar de transferir e "modificar" no lugar de reduzir:

    "9.1 - Descrição geral do processo de tratamento do risco

    Entrada: Uma lista de riscos priorizada, de acordo com os critérios de avaliação de riscos, em relação
    aos cenários de incidentes que podem levar a esses riscos.

    Ação: Convém que controles para modificar, reter, evitar ou compartilhar os riscos sejam selecionados e o plano de tratamento do risco seja definido."

  • Segundo a ISO 27005:2011,"Há quatro opções disponíveis para o tratamento do risco: modificação do risco (ver 9.2), retenção do
    risco (ver 9.3), ação de evitar o risco (ver 9.4) e compartilhamento do risco (ver 9.5)."