SóProvas

ID
861415
Banca
CESPE / CEBRASPE
Órgão
TCE-ES
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Segundo as normas NBR ISO/IEC 27001 e 27002, julgue os itens a seguir, a respeito de gestão de segurança da informação.

A retenção de riscos compreende medidas realizadas para evitar a ocorrência de determinada condição que leve ao risco.

Alternativas
Comentários
  • A questão está errada, pois ela fala do tratamento Evitar Risco ao invés de Reter o Risco

    Conceitualmente, há quatro opções de tratamento de riscos: Evitar o risco, pela modificação do sistema, de modo que desapareça; Reduzir o risco, atuando-se sobre os fatores que influenciam a expectativa de ocorrência ou as conseqüências; Transferir o risco, por meio de seguros, cooperação ou outro ato; e Reter o risco, quando for impossível ou economicamente inviável tratá-lo de modo diferente. As três primeiras opções são medidas preventivas, enquanto a última é de caráter contingencial ou mitigatório.
  • 4.2 Estabelecendo e gerenciando o SGSI
    4.2.1 Estabelecer o SGSI
    A organização deve:
    a)
    .
    .
    .
    f) Identificar e avaliar as opções para o tratamento de riscos.
    Possíveis ações incluem:
    1) aplicar os controles apropriados;
    2) aceitar os riscos consciente e objetivamente, desde que satisfaçam claramente às políticas da
    organização e aos critérios de aceitação de riscos (ver 4.2.1c)2));
    3) evitar riscos; e
    4) transferir os riscos associados ao negócio a outras partes, por exemplo, seguradoras e fornecedores.
    Fonte: pdf ABNT NBR ISO 27001 - página 05.
  • Reter risco = Aceitar risco.
    Reter é a nomenclatura utilizada na Norma Complementar no 4/IN 01/DSIC/GSIPR.
    Aceitar é a nomenclatura utilizada na ISO 27002.
  • Complementando o excelente comentário de DIEGO:

    GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES – GRSIC

    3 CONCEITOS E DEFINIÇÕES

    3.12 Reter risco – uma forma de tratamento de risco na qual a alta administração decide realizar
    a atividade, assumindo as responsabilidades caso ocorra o risco identificado;

     

  • Como seria esse reter em inglês...keep ou hold?

  • Fui dar uma papirada em inglês e descobri que a norma se refere à accept the risk, ou seja, reter é coisa de brasileiro n fluente no inglês!

  • GABARITO: ERRADO

    No Anexo G da norma 27005 de 2011, temos a definição:

    3.8

    retenção do risco

    aceitação do ônus da perda ou do benefício do ganho associado a um determinado risco

    [ABNT ISO/IEC GUIA 73:2005]

    NOTA No contexto dos riscos de segurança da informação, somente consequências negativas (perdas) são consideradas para a retenção do risco.