Gabarito D;
A questão está errada apenas na parte: ...Riscos não podem ser aceitos....
4.2 Tratando os riscos de segurança da informação
Convém que, antes de considerar o tratamento de um risco, a organização defina os critérios para determinar se os riscos podem ser ou não aceitos. Riscos podem ser aceitos se, por exemplo, for avaliado que o risco é baixo ou que o custo do tratamento não é economicamente viável para a organização. Convém que tais decisões sejam registradas.
Fonte: http://www.ebah.com.br/content/ABAAAe_csAE/abnt-nbr-iso-iec-17799?part=3
Bons estudos!
Prezados ,
Segundo a ISO 27002 :
Convém que as análises/avaliações de riscos identifiquem,
quantifiquem e priorizem os riscos com base em critérios para aceitação dos
riscos e dos objetivos relevantes para a organização. Convém que os resultados orientem
e determinem as ações de gestão apropriadas e as prioridades para o
gerenciamento dos riscos de segurança da informação, e para a implementação dos
controles selecionados, de maneira a proteger contra estes riscos. O processo
de avaliar os riscos e selecionar os controles pode precisar ser realizado
várias vezes, de forma a cobrir diferentes partes da organização ou de sistemas
de informação específicos.
Convém que a análise/avaliação de riscos inclua um enfoque
sistemático de estimar a magnitude do risco (análise de riscos) e o processo de
comparar os riscos estimados contra os critérios de risco para determinar a significância
do risco (avaliação do risco). ( alternativa C )
Convém que as análises/avaliações de riscos também sejam
realizadas periodicamente, para contemplar as mudanças nos requisitos de
segurança da informação e na situação de risco, ou seja, nos ativos, ameaças, vulnerabilidades,
impactos, avaliação do risco e quando uma mudança significativa ocorrer. Essas
análises/avaliações de riscos devem ser realizadas de forma metódica, capaz de
gerar resultados comparáveis e reproduzíveis. ( alternativa B e alternativa E )
Convém que a análise/avaliação de riscos de segurança da
informação tenha um escopo claramente definido para ser eficaz e inclua os
relacionamentos com as análises/avaliações de riscos em outras áreas, se necessário.
( alternativa A )
Vemos que a única alternativa que não guarda correspondência
com o que vemos na ISO 27002 é a alternativa D , ela na verdade fala justamente
o contrário , vejamos o que a mesma ISO fala no item 4.2 :
Convém que, antes de considerar o tratamento de
um risco, a organização defina os critérios para determinar se os riscos podem
ser ou não aceitos. Riscos podem ser aceitos se, por exemplo, for avaliado que
o risco é baixo ou que o custo do tratamento não é economicamente viável para a
organização.
A alternativa correta é : D.