SóProvas

a) Aceitar ou reter um risco durante o seu tratamento equivale a transferi-lo. (ERRADO)

(Aceitar=Reter) ≠  Transferir.           (Só para melhorar o entendimento)

Segundo a ISO 27005,9.1 Descrição geral do processo de tratamento do risco, "Há quatro opções disponíveis para o tratamento do risco: redução do risco (ver 9.2), retenção do risco (ver 9.3), evitar o risco (ver 9.4) e transferência do risco (ver 9.5).

NOTA A ABNT NBR ISO/IEC 27001 4.2.1.f) 2) usa o termo “aceitação do risco” em vez de “retenção do risco”."

-------------------------------------||--------------------------------

b) Os riscos residuais são conhecidos antes da comunicação do risco. (ERRADO)

**Senhores não conseguir encontrar a resposta para esta questão. Quem encontrar compartilha com a galera.

------------------------------||-------------------------------

c) Os riscos são reduzidos ou mitigados sem que ocorra a seleção de controles.(ERRADO)

Reduzir=Mitigar.(Só para melhorar o entendimento)

Segundo a ISO 27005,"9.2 Redução do risco

Ação: Convém que o nível de risco seja reduzido através da seleção de controles, para que o risco residual possa ser reavaliado e então considerado aceitável."

------------------------||---------------------------------

d) Qualquer atividade de comunicação do risco de segurança da informação deve ocorrer apenas após a aceitação do plano de tratamento do risco pelos gestores da organização.(ERRADO)

Segundo a ISO 27005,11 Comunicação do risco de segurança da informação, "Convém que a comunicação do risco seja realizada a fim de: 

-Compartilhar os resultados da análise/avaliação de riscos e apresentar o plano de tratamento do risco."

**Portanto, nesse caso acima, por exemplo, a comunicação de risco pode ocorrer antes, visto que a comunicação apresenta o plano de tratamento do risco.

---------------------------------------||----------------------------------

e) A definição do contexto da gestão de riscos deve preceder a identificação dos ativos de valor.(CORRETO) (Tentem seguir o raciocínio abaixo para entender.

Segundo a ISO 27005,"A análise/avaliação de riscos determina o valor dos ativos de informação, identifica as ameaças e vulnerabilidades aplicáveis existentes (ou que poderiam existir), identifica os controles existentes e seus efeitos no risco identificado, determina as conseqüências possíveis e, finalmente, prioriza os riscos derivados e ordena-os de acordo com os critérios de avaliação de riscos estabelecidos na definição do contexto."

É Isso mesmo. =]. 

pelo gráfico da 27005, todos os processos geram saídas para comunicação de riscos

DATA - CM

erro da letra B deve ser isso mesmo

Gabarito E

D efinir contexto

A avaliação de risco

T tratamento de risco

E stimativa

C comunicação

A ceitação

M onitoramento

I dentifcação do risco



Definição do contexto
 Security needs Identification for Enterprise Assets


Identificação dos Riscos
 Threat Assessment


Análise de riscos
 Asset Valuation
 Threat Assessment
 Vulnerability Assessment
 Enterprise Security Approaches


Avaliação de riscos
 Risk Determination


Tratamento do risco
 Enterprise Security Services


Aceitação do Risco
 Security needs Identification for Enterprise Assets
 Enterprise Security Approaches
 Document the Security Goals


Comunicação do risco
 Enterprise Partner Communication
 Share Responsibility for Security
 Document the Security Goals


Monitoramento e Análise
Crítica de Riscos
 Security Accounting Requirements
 Security Accounting Design
 Audit Requirements
 Audit Design
 Audit Trails & Logging Requirements
 Audit Trails & Logging Design
 Non-Repudiation Requirements
 Non- Repudiation Design
 Documentation Review
 Log Review

"Retroceder Nunca Render-se Jamais !"
Força e Fé !
Fortuna Audaces Sequitur !