SóProvas

ID
991903
Banca
CESPE / CEBRASPE
Órgão
ANTT
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens seguintes, de acordo com a norma NBR ISO/IEC 27005:2008.

Na análise e avaliação de riscos, faz-se a combinação da probabilidade com o impacto da ocorrência indesejada, de modo que os riscos e as ameaças sejam ordenados de acordo com sua gravidade percebida pelo valor ativo para a organização.

Alternativas
Comentários

  • Resposta: E

    Segundo as estatísticas de resolução, 80% das pessoas erraram essa questão. Alguém explica o motivo de estar errada?

  • Também errei, acredito que a combinação da probabilidade é dada na estimativa do risco, e não na análise e avaliação. Na análise e avaliação apenas é identificado as ameaças e os controles existentes para evitá-las... eu acho!

  • NBR ISO/IEC 27005:2008

    Seção: 8.1 Descrição geral do processo de análise/avaliação de riscos de segurança da informação

    Saída: Uma lista de riscos avaliados, ordenados por prioridade de acordo com os critérios de avaliação de riscos.

  • Pessoal, o erro da questão está em afirmar que as ameaças também são ordenadas pela análise/avaliação de riscos. Apenas os riscos são ordenados, conforme a sua prioridade, mais especificamente pela avaliação dos riscos, onde é feira uma comparação do valores predefinidos de riscos. As ameaças são apenas identificadas, assim como os ativos, vulnerabilidades, controles existentes e consequências.

    Bons estudos!