SóProvas

ID
828133
Banca
CESPE / CEBRASPE
Órgão
TJ-RO
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação à NBR 27005, assinale a opção correta, no que se refere à gestão de riscos de segurança da informação.

Alternativas
Comentários
  • a) errado - aceitar, reter e transferir risco são formas de tratamento de riscos diferentes.
    b) errado - a comunicação do risco é uma atividade que objetiva alcançar um consenso sobre como os riscos devem ser gerenciados. A comunicação do risco auxiliará inclusive a identificação de riscos, e será executada continuamente. Logo eja será exercida muito antes da definição dos riscos residuais.
    c) errado - Controles apropriados e devidamente justificados serão selecionados para satisfazer os requisitos identificados através da análise/avaliação de riscos e do tratamento dos mesmos para a redução de riscos.
    d) errado - da mesma maneira da alternativa B, a comunicação de risco é contínua e exercida desde muito antes de ser definido o plano de tratamento do risco e permanece sua implementação.
    e) correto - A definição do contexto é a primeira etapa do processo de Planejamento do GRSI. Serão acertados o escopo e os limites da gestão de risco. A identificação de valor dos ativos será realizada depois, no processo de análise de riscos.

  • Lembrando que dentro da identificação dos riscos existem as seguintes fases:
       - Identificação dos ativos
       - Identificação das ameaças
       - Identificação dos controles existentes
       - Identificação das vulnerabilidades
       - Identificação das consequências

    Fonte: Material cathedra - Prof. Gleyson 

  • Só um comentário quanto ao respondido pelo Marcelo Borges:

    Aceitar e reter riscos não são formas diferentes de tratamento de riscos, são iguais. Retenção de riscos é a mesma coisa que aceitação de risco.

    Os tratamentos diferentes adotados pela 27005 são: Reter (aceitar) risco, Redução (mitigar) de risco, Evitar o risco e Transferir o risco.

  • Gabarito E

    Segundo a ISO 27005,"A análise/avaliação de riscos determina o valor dos ativos de informação, identifica as ameaças e vulnerabilidades aplicáveis existentes (ou que poderiam existir), identifica os controles existentes e seus efeitos no risco identificado, determina as conseqüências possíveis e, finalmente, prioriza os riscos derivados e ordena-os de acordo com os critérios de avaliação de riscos estabelecidos na definição do contexto."

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !