SóProvas

ID
893923
Banca
CESPE / CEBRASPE
Órgão
TRT - 10ª REGIÃO (DF e TO)
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere a políticas organizacionais e gestão e análise de
riscos, julgue os itens seguintes.

A avaliação de riscos, uma atividade do processo de gestão de riscos, inclui a identificação e a análise dos riscos, as quais geram saídas para o tratamento desses riscos.

Alternativas
Comentários
  • A norma que trata da Gestão de Riscos é a ISO 27005. De acordo com essa norma os processos são:
    1. Definição do Contexto

    2. Análise/Avaliação de Riscos
    2.1 Análise de Riscos
    2.1.1 Identificação de riscos
    2.1.2 Estimativa de Riscos
    2.2 Avaliação de Riscos

    3. Tratamento de Riscos

    4. Aceitação de Riscos

    5. Comunicação dos Riscos

    6. Monitoração dos riscos.

    Dessa forma, a Identificação dos riscos faz parte da análise e não da avaliação do risco.
    Ao meu ver, esta questão está errada.

    Me corrijam, caso eu esteja errado.
  • Pra mim a questão também está ERRADA. Vejam :

    ftp://ftp.registro.br/pub/gts/gts15/02-ISO-27005-exemplificada.pdf
  • Segundo Aragon:
    "Avaliação de risco: avaliar regularmente a probabilidade e o impacto de todos os riscos identificados, utilizando métodos qualitativos e 
    quantitativos." 

    Ou seja, na avaliação os riscos já estão identificados, portanto questão errada.

  • Senhores acredito que esta questão está correta mesmo. Porque se perceberem o comando da questão, não há nenhuma menção a norma ISO 27005 de segurança da informação, o que no faz pensar que o cespe está querendo saber no âmbito da gestão de riscos global, e daí temos que buscar em outras normas tipo a ISO 31000.

    Segundo a ISO 31000(De gestão de riscos),"

    5.4 Processo de avaliação de riscos

    5.4.1 Generalidades

    O processo de avaliação de riscos é o processo global de identificação de riscos, análise de riscos e avaliação de riscos."

  • Parece que a questão está se referindo a norma NBR/ISO 27005:2011 que inclui algumas alterações no processo de gestão de riscos em relação a norma anterior 27005:2006.


    O Processo de Avaliação de Riscos passou a englobar as seguintes atividades: Identificação de riscos (Seção 8.2)
     Análise de riscos (Seção 8.3)  Avaliação de riscos (Seção 8.4)

  • essa quem sabe erra.

  • Tem que analisar qual foi a norma pedida nesse concurso. 

    A assertiva está em consonância com a ISO 31000