Questões de Concurso
Sobre norma 27005 em segurança da informação
Foram encontradas 318 questões
Quanto ao tratamento, a transferência de um risco para outra entidade pode criar novos riscos ou alterar os riscos já existentes.
A tarefa específica de comprar um determinado risco com critérios predefinidos de risco, com objetivo de determinar a grandeza desse risco, é denominada análise de riscos.
O processo de aceitação do risco da gestão de riscos e segurança da informação está alinhado com o processo de planejamento do SGSI (sistema de gestão de segurança da informação).
I. Critérios para a aceitação do risco podem incluir mais de um limite, representando um nível desejável de risco; porém, precauções podem ser tomadas por gestores seniores para aceitar riscos acima desse nível, desde que sob circunstâncias definidas. I. Critérios para a aceitação do risco podem ser expressos como a razão entre o lucro estimado e o risco estimado. III. Diferentes critérios para a aceitação do risco podem ser aplicados a diferentes classes de risco, por exemplo: riscos que podem resultar em não conformidade com regulamentações ou leis podem não ser aceitos, enquanto riscos de alto impacto poderão ser aceitos se isso for especificado como um requisito contratual.
Está(ão) CORRETO(S):
De acordo com a NBR ISO/IEC 27005, em relação à definição do contexto, sobre os critérios básicos, analisar a sentença abaixo:
Dependendo do escopo e dos objetivos da gestão de riscos, diferentes métodos podem ser aplicados. O método não deve ser diferente para cada iteração do processo (1ª parte). Convém que um método de gestão de riscos apropriado seja selecionado ou desenvolvido e leve em conta critérios básicos, tais como: critérios de avaliação de riscos, critérios de impacto e critérios de aceitação do risco (2ª parte). Convém que a organização avalie se os recursos necessários estão disponíveis para definir e implementar políticas e procedimentos, incluindo implementação dos controles selecionados (3ª parte).
A sentença está:
(1) Impacto.
(2) Comunicação do risco.
(3) Transferência do risco.
(4) Identificação de riscos.
( ) Processo para localizar, listar e caracterizar elementos do risco.
( ) Troca ou compartilhamento de informação sobre risco entre o tomador de decisão e outras partes interessadas.
( ) Compartilhamento com outra entidade do ônus da perda ou do benefício do ganho associado a um risco.
( ) Mudança adversa no nível obtido dos objetivos de negócios.
Acerca das NBR ISO/IEC 27001, 27002 e 27005 e plano de continuidade de negócios, julgue o item a seguir.
Para a identificação de riscos, a norma NBR ISO/IEC 27005
recomenda que se incluam apenas os riscos cujas fontes sejam
evidentes e estejam sob o controle da organização.
Acerca das NBR ISO/IEC 27001, 27002 e 27005 e plano de continuidade de negócios, julgue o item a seguir.
A análise crítica de políticas de segurança da informação deve
apoiar o gerenciamento da segurança da informação propondo
melhorias na política de segurança da informação em resposta
às mudanças no ambiente organizacional, nas circunstâncias do
negócio, nas condições legais ou no ambiente de tecnologia.
Acerca das NBR ISO/IEC 27001, 27002 e 27005 e plano de continuidade de negócios, julgue o item a seguir.
O objetivo da classificação da informação é assegurar
que todas as informações produzidas pela organização recebam
os níveis máximos de proteção e sigilo disponíveis.
Acerca das NBR ISO/IEC 27001, 27002 e 27005 e plano de continuidade de negócios, julgue o item a seguir.
O fornecimento de evidências formais da aplicação
de testes suficientes por empresa de desenvolvimento
de sistemas terceirizado contra a presença de vulnerabilidades
conhecidas em sistemas novos ou em processo de manutenção
é uma diretriz para implementação do controle relacionado à
supervisão e ao monitoramento de atividades de
desenvolvimento terceirizado pela organização.
Considerando as normas que regulam a segurança da informação e o sistema de gestão de segurança da informação (SGSI), julgue o próximo item.
De acordo com a ISO/IEC 27005, os responsáveis pela
estimativa de riscos devem entregar uma lista de riscos na qual
constem níveis de valores designados com base nos cenários de
incidentes e nas consequências deles para os ativos e o
negócio.
Conheça nossos planos