SóProvas

ID
991909
Banca
CESPE / CEBRASPE
Órgão
ANTT
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens seguintes, de acordo com a norma NBR ISO/IEC 27005:2008.

No tratamento de risco, há opção de se reduzir ou de se transferir o risco. Na primeira opção, são tomadas ações para reduzir a probabilidade ou consequências negativas associadas a um risco, ao passo que, na segunda, pode-se compartilhar o benefício do ganho associado a determinado risco.

Alternativas
Comentários

  • CERTO

    Segundo a ISO 27005,"

    9.1 Descrição geral do processo de tratamento do risco

    quatro opções disponíveis para o tratamento do risco: redução do risco (ver 9.2), retenção do risco (ver 9.3),

    evitar o risco (ver 9.4) e transferência do risco (ver 9.5)."

    Segundo a ISO 27005, "

    3 TERMOS E DEFINIÇÕES

    3.7 redução do risco: ações tomadas para reduzir a probabilidade, as conseqüências negativas, ou ambas, associadas a um risco.

    3.9 transferência do risco: compartilhamento com uma outra entidade do ônus da perda ou do benefício do ganho associado a um risco."

  • Só pra complementar: riscos podem ser positivos ou negativos.

    Se eu aposto na mega-sena, eu tenho o risco de ganhar. (risco positivo)

    Se eu ando de moto se capacete, eu tenho o risco de morrer se cair. (risco negativo)

  • O CESPE corta as frases em pedacos pra fazer as questoes e saem coisas muito sem sentido.

    Outra critica e o fato de que mtas vezes a interpretacao de uma certa norma ou frase de um livro, nao tem aceitacao por eles! A questao so e correta se estiver exatamente como foi COPIADO do texto original, mesmo que seja uma frase sem sentido.

    So parei de reclamar pq ja passei em 2 provas dificeis do CESPE, mas que tem mta questao ruim, isso tem sim...

  • Consegui encaixar essa definição na prática...imaginem um contrato de outsourcing de impressão, onde cada filial de uma empresa só pode pedir 2 toner por mês, senão paga mais caro...daí vai ter filial que usa muito a impressora e vai ter filial que usa pouco, ou seja, vai ter uma que usa 3 toners por mês e uma outra que usa 1 só; daí essa que usa 1 sempre fornece o outro para a que usa 3, para que ela fique dentro do contrato. Sendo assim, o contrato de outsourcing foi firmado para tratar o risco de ficar sem suplementos e depender de licitação, se for um órgão público, p ex...daí, em cima desse risco (ficar sem toner) - com a medida de 2 por campi, a empresa acabou se beneficiando...deve ter outros exemplos melhores...

  • Só fazendo um complemento, destacado abaixo na norma, em relação à inexistência de risco positivo em segurança da informação.

      

    Transferência do risco
    compartilhamento com uma outra entidade do ônus da perda ou do benefício do ganho associado a um risco

    [ABNT ISO/IEC GUIA 73:2005]
    NOTA No contexto dos riscos de segurança da informação, somente consequências negativas (perdas) são consideradas para a transferência do risco.

     

    Fonte: ABNT NBR ISO/IEC 27005:2008