SóProvas

ID
868438
Banca
CESPE / CEBRASPE
Órgão
TRE-MS
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

De acordo com a norma ABNT NBR ISO/IEC 27.005, os processos da análise de riscos incluem

Alternativas
Comentários
  • Os processos da análise de riscos (item 8.2 da norma) incluem:
    1. Identificação de riscos, englobando a identificação de ativos, de ameaças, dos controles existentes, das vulnerabilidades, e das consequências.
    2. Estimativa dos riscos, englobando a avaliação das consequências, da probabilidade de incidentes, e da estimativa do nível de risco.
  • Prezados,
    A referida ISO  em seu item 8.2 estabelece o processo de análise de riscos, o qual apresenta em um de seus subitens exatamente o postulado na alternativa A :
    “8.2.1.6 Identificação das consequências :
    Entrada: Uma lista de ativos, uma lista de processos do negócio e uma lista de ameaças e vulnerabilidades, quando aplicável, relacionadas aos ativos e sua relevância.
    Ação: Convém que as consequências que a perda de confidencialidade, de integridade e de disponibilidade podem ter sobre os ativos sejam identificadas.
    Saída: Uma lista de cenários de incidentes com suas consequências associadas aos ativos e processos de negócio”
     
    Portanto, a alternativa correta para essa questão é a letra A.
    Fonte : ABNT NBR ISO/IEC 27005:2008
     
  • Não entendi a questão!!

    Ela não esta pedindo ANALISE DE RISCO ?? Segundo o q sei de 27005, os processos de ANALISE DE RISCO SÃO:
    - AVALIACAO DAS CONSEQ.
    -AVALIACAO DA PROBABIIDADE
    -DETERMINACAO DO NIVEL DE RISCO.
    O processo de IDENTIFICACAO DAS CONSEQ. acontece em IDENTIFICACAO DE RISCO !!
    Comentários ???

  • DATA-CM

    D - definição de contexto

    A - análise / avaliação dos riscos

    T - tratamento 

    A - aceitação 

    C - comunicação

    M - monitoracão e análise crítica

    Na análise de Riscos - AA-CVC / QQ - CPN

    identificação dos riscos

    A - ativos

    A - ameaças

    C - controles

    V - vulnerabilidades

    C - consequencias

    estimativa dos riscos

    Q - qualitativa

    Q - quantitativa

    C - consequencias ----- resposta da questão

    P - probabilidades

    N - nível

    2018

    A NBR ISO/IEC 27005 define risco como a combinação das consequências advindas da ocorrência de um determinado evento indesejado com a probabilidade de ocorrência desse mesmo evento. A análise e a avaliação de riscos capacitam os gestores a priorizar os riscos.

    De acordo com essa norma, a atividade de análise de riscos inclui

    A a comunicação e a avaliação de riscos.

    B o tratamento e a aceitação de riscos.

    C a estimativa e o tratamento de riscos.

    D a avaliação e o tratamento de riscos.

    E a identificação e a estimativa de riscos.

  • Não entendi! Na avaliação de riscos exite a a Avaliação das Consequências! E a Identificação das Consequências está na identificação dos riscos. Alguém pode explicar se isso está correto?

  • Análise de Risco: Identificação de riscos (fases)

    - Identificação dos ativos;

    - Identificação das ameaças;

    - Identificação dos controles existentes;

    - Identificação das vulnerabilidades;

    - Identificação das consequências.

  • AGORA A IDENTIFICAÇÃO DE CONSEQUÊNCIAS NÃO FAZ MAIS PARTE DA ANÁLISE DE RISCOS, MAS SIM APENAS DA IDENTIFICAÇÃO DE RISCOS. A IDENTIFICAÇÃO DE RISCOS FAZ PARTE DA ATIVIDADE AVALIAÇÃO DE RISCOS.

    Segundo a ISO 27005:2011,

    "8 Processo de avaliação de riscos de segurança da informação

    8.2 Identificação de riscos 
    8.2.1 Introdução à identificação de riscos
    8.2.2 Identificação dos ativos 
    8.2.3 Identificação das ameaças
    8.2.4 Identificação dos controles existentes
    8.2.5 Identificação das vulnerabilidades
    8.2.6 Identificação das consequências

    8.3 Análise de riscos

    8.4 Avaliação de riscos"