A equipe de gestão de riscos de um órgão está adequando o se...
I. formular e selecionar opções de tratamento de riscos; II. avaliar se os riscos estão de acordo com o contexto do SGSI; III. decidir sobre a aceitabilidade do risco residual; IV. identificar os riscos da organização; V. avaliar os riscos identificados.
Dentre as atividades acima, fazem parte do processo interativo de tratamento de riscos, segundo a ABNT NBR ISO/IEC 27005:2023, somente as atividades:
Gabarito comentado
Confira o gabarito comentado por um dos nossos professores
A alternativa correta para a questão é a Alternativa A - I e III.
Vamos agora entender melhor o contexto e os conceitos envolvidos na norma ABNT NBR ISO/IEC 27005:2023, que é central para a gestão de riscos de segurança da informação. Esta norma oferece diretrizes para o gerenciamento de riscos no contexto do Sistema de Gestão de Segurança da Informação (SGSI), fornecendo um procedimento sistemático para identificar, avaliar e tratar riscos.
Vamos analisar cada item listado na questão:
I. Formular e selecionar opções de tratamento de riscos: Esta atividade é crucial para o processo de tratamento de riscos, pois envolve a identificação de medidas para mitigar ou transferir os riscos identificados. É uma parte central do tratamento de riscos, conforme indicado na norma.
II. Avaliar se os riscos estão de acordo com o contexto do SGSI: Esta atividade está mais relacionada à avaliação e ao contexto, mas não é especificamente parte do tratamento de riscos. O tratamento de riscos se concentra em como lidar com os riscos, uma vez identificados e avaliados.
III. Decidir sobre a aceitabilidade do risco residual: Essa atividade está diretamente ligada à etapa de tratamento de riscos, onde se decide se o risco que permanece após a aplicação das medidas de controle é aceitável ou não.
IV. Identificar os riscos da organização: Esta atividade pertence à fase de identificação de riscos, que é uma etapa anterior ao tratamento propriamente dito.
V. Avaliar os riscos identificados: Esta é uma fase de avaliação de riscos, onde se determina o impacto e a probabilidade dos riscos identificados. É anterior ao tratamento dos riscos.
Com base nesta análise detalhada:
- Alternativa A é correta porque as atividades I e III são partes explícitas do tratamento de riscos.
- Alternativas B, C, D, e E são incorretas porque incluem atividades que pertencem às fases de identificação de riscos ou de avaliação de riscos, mas não ao tratamento de riscos.
Espero que esta explicação tenha clarificado o motivo pelo qual a alternativa A é a correta, alinhando-se com os princípios estabelecidos pela norma para o tratamento de riscos.
Gostou do comentário? Deixe sua avaliação aqui embaixo!
Clique para visualizar este gabarito
Visualize o gabarito desta questão clicando no botão abaixo
Comentários
Veja os comentários dos nossos alunos
É aquela imagem clássica da ISO:
https://cdn.goconqr.com/uploads/node/image/12745859/desktop_trea.PNG
Perceba que no "quadrado" do tratamento de riscos existem as opções de tratamento de riscos e os riscos residuais, por isso o gabarito é
I. formular e selecionar opções de tratamento de riscos e
III. decidir sobre a aceitabilidade do risco residual.
Ainda estou com o mapa dessa ISO na cabeça. BORA!
Com a FGV tem sempre duas corretas. Sendo uma mais correta que as outras pois a D também não deixa de estar certa.
Clique para visualizar este comentário
Visualize os comentários desta questão clicando no botão abaixo
Conheça nossos planos