ERRADO.
1)A avaliação de riscos, apesar de envolver a comparação do risco estimado com critérios de risco predefinidos para determinar a importância do risco em relação à segurança da informação, (CORRETO)
Segundo a ISO 27001,p.11,"
3. Termos e definições
3.13 Avaliação de riscos
processo de comparar o risco estimado com critérios de risco predefinidos para determinar a importância do risco."
2)não faz parte da documentação do SGSI. (ERRADO)
Segundo a ISO 27001,p.16, "
4.3 Requisitos de documentação
4.3.1 Geral
A documentação do SGSI deve incluir:d) uma descrição da metodologia de análise/avaliação de riscos (ver 4.2.1c));
e) o relatório de análise/avaliação de riscos (ver 4.2.1c) a 4.2.1g));
"**Portanto, o erro da questão está em afirmar que a avaliação de riscos não pertence a documentação do SGSI, quando na verdade pertence.
4.3 Requisitos de documentação
4.3.1 Geral
A documentação deve incluir registros de decisões da
direção, assegurar que as ações sejam rastreáveis às políticas e decisões da
direção, e assegurar que os resultados registrados sejam reproduzíveis. É
importante que se possa demonstrar a relação dos controles selecionados com os
resultados da análise/avaliação de riscos e do processo de tratamento de
riscos, e conseqüentemente com a política e objetivos do SGSI.
A documentação do SGSI deve incluir:
a) declarações documentadas da política (ver 4.2.1b)) e objetivos
do SGSI;
b) o escopo do SGSI (ver 4.2.1a));
c) procedimentos e controles que apoiam o SGSI;
d) uma descrição da
metodologia de análise/avaliação de riscos (ver 4.2.1c));
e) o relatório de análise/avaliação de riscos (ver 4.2.1c) a
4.2.1g));
f) o plano de tratamento de riscos (ver 4.2.2b));
g) procedimentos documentados requeridos pela organização
para assegurar o planejamento efetivo, a operação e o controle de seus
processos de segurança de informação e para descrever como medir a eficácia dos
controles (ver 4.2.3c));
h) registros requeridos por esta Norma (ver 4.3.3); e
i) a Declaração de Aplicabilidade.