-
Tratar as ameaças também!
-
Portugues complicado esse da CESPE;
A avaliação de risco limita-se a compreender a avaliação de ameaças, impactos e vulnerabilidades da informação (certo)
assim como das instalações de processamento da informação. (errado)
Assim como..... o que?
-
Na avaliação de riscos, não se tratam as ameças. Para isso tem uma etapa no gerenciamento de riscos
Português complicado esse da CESPE (2)
"Informação assim como das instalações de processamento da informação." = Ativos de informação e infrastrutura (pelo menos eu entendi, assim) a CESPE entende o que ela quer!!...
-
Avaliação de risco na norma ISO 17799:
2.2 avaliação de risco: Avaliação das ameaças, impactos e vulnerabilidades da informação e das instalações de processamento da informação e da probabilidade de sua ocorrência.
-
A avaliação de risco é uma consideração sistemática:
a) do impacto nos negócios como resultado de uma falha de segurança, levando-se em conta as potenciais conseqüências da perda de confidencialidade, integridade ou disponibilidade da informação ou de outros ativos;
b) da probabilidade de tal falha realmente ocorrer à luz das ameaças e vulnerabilidades mais freqüentes e nos controles
atualmente implementados.
-
O erro acontece pois a questão diz "limita-se".
Valendo da ISO 17799: Avaliação de risco:
Avaliação das ameaças;
Impactos;
Vulnerabilidades da informação e das instalações de processamento da informação;
Probabilidade de sua ocorrência(parte que falta no texto).