Questões de Segurança da Informação - Norma 27005 para Concurso

o escopo do levantamento de processos, incluindo atividades auto normativas.

uma lista de ameaças com a identificação do tipo e da fonte das ameaças.

uma lista de ativos com riscos a serem gerenciados e uma lista dos processos de negócio relacionados aos ativos e suas relevâncias.

uma lista de riscos avaliados, ordenados por prioridade de acordo com os critérios de avaliação de riscos.

a especificação dos critérios básicos, o escopo e os limites do processo de gestão de riscos de segurança da informação e a organização responsável pelo processo.

A valoração dos ativos pode ser determinada de duas maneiras: pela valoração da reposição do ativo e as consequências ao negócio relacionadas à perda ou pelo comprometimento do ativo.

A análise de riscos qualitativa é realizada com valores numéricos, de preferência com dados históricos de incidentes.

A análise qualitativa de riscos depende da exatidão e da integridade dos dados.

Uma das etapas da análise de riscos é a análise das consequências. Nessa fase, é importante analisar, de forma quantitativa, as consequências.

Na avaliação de probabilidade, designam-se valores para a probabilidade e para as consequências de um risco.

A norma estabelece uma escala de aceitação de riscos, que deve ser seguida pelas organizações.

Os critérios de aceitação de risco não podem ser diferenciados pelo tempo de existência do risco, apenas pelo valor do impacto do evento.

Os critérios de aceitação de risco devem ser expressos como razão entre o lucro e o risco estimado.

É possível aceitar um risco, mesmo que as ações de tratamento desse risco ainda não tenham sido tomadas, desde que haja um compromisso de ações em um período de tempo estipulado.

Os critérios de aceitação de risco são independentes das políticas e das metas da organização, vinculando-se a fatores financeiros, sociais e de reputação.

No tratamento do risco, é possível admitir mais de uma opção de tratamento para um risco.

Para cada risco há uma forma de tratamento, não admitindo que um tratamento sirva a mais de um risco.

Na retenção do risco, convém que ele seja gerenciado pela inclusão, exclusão ou alteração dos controles, para que o risco seja considerado aceitável.

Quando os riscos são considerados elevados e os custos da implementação do tratamento do risco excederem os benefícios, pode-se modificar o risco.

Quando os riscos são considerados elevados e os custos da implementação do tratamento do risco excederem os benefícios, deve-se reter o risco e modificá-lo.