O Processo de Gestão de Riscos de Segurança da Informação é ...

A alternativa correta é a C - Identificação, análise e avaliação de riscos.

Para entender melhor esta questão, é importante compreender as etapas do Processo de Gestão de Riscos de Segurança da Informação conforme definido pela ABNT NBR ISO/IEC 27005:2011. Esta norma fornece diretrizes para a gestão de riscos associados à segurança da informação, abrangendo a identificação, análise, avaliação, tratamento e monitoramento desses riscos.

Alternativa C - Identificação, análise e avaliação de riscos

Correta. Esta alternativa descreve precisamente as atividades da etapa denominada Processo de Avaliação de Riscos. A identificação de riscos envolve a detecção de potenciais eventos ou situações que possam impactar a segurança da informação. A análise de riscos considera a probabilidade e o impacto desses eventos, enquanto a avaliação de riscos consiste em comparar os níveis de risco encontrados com os critérios de risco estabelecidos para determinar se o risco é aceitável ou não.

Alternativa A - Monitoramento e análise crítica de riscos

Esta alternativa está incorreta porque essas atividades pertencem à fase de Monitoramento e Revisão do processo de gestão de riscos. Nesta fase, é realizada a supervisão contínua dos riscos, assim como a avaliação da eficácia das medidas de controle implementadas.

Alternativa B - Tratamento e aceitação do risco

Esta alternativa está incorreta porque descreve atividades relacionadas à fase de Tratamento de Riscos. O tratamento de risco envolve a seleção e implementação de medidas para modificar o risco, enquanto a aceitação do risco refere-se à decisão de tolerar o risco residual após o tratamento.

Alternativa D - Comunicação, compartilhamento e consulta do risco

Esta alternativa está incorreta porque essas atividades estão mais alinhadas com a fase de Comunicação e Consulta do processo de gestão de riscos, que visa assegurar que todas as partes interessadas estejam cientes dos riscos e das medidas de controle.

Alternativa E - Modificação, retenção e ações para evitar os riscos

Esta alternativa está incorreta porque descreve atividades que também fazem parte da fase de Tratamento de Riscos, onde são tomadas decisões sobre como lidar com os riscos identificados, seja modificando-os, retendo-os ou evitando-os.

Espero que a explicação tenha sido clara e ajude a entender melhor como a norma ISO/IEC 27005:2011 estrutura o Processo de Gestão de Riscos de Segurança da Informação. Qualquer dúvida, estou à disposição!

Processo de Avaliação de Riscos eu guardo o seguinte mnemônico:

- IDENTIFICA

- Ana  

e dê a ela o

- Aval

c) Identificação, análise e avaliação de riscos.

Gabarito C

A atividade de Análise/Avaliação de Riscos é subdividida em outras três atividades: Identificação de riscos; Estimativa de riscos; e Avaliação de riscos.

"Retroceder Nunca Render-se Jamais !"
Força e Fé !
Fortuna Audaces Sequitur !

2018

A NBR ISO/IEC 27005 define risco como a combinação das consequências advindas da ocorrência de um determinado evento indesejado com a probabilidade de ocorrência desse mesmo evento. A análise e a avaliação de riscos capacitam os gestores a priorizar os riscos.

De acordo com essa norma, a atividade de análise de riscos inclui

A

a comunicação e a avaliação de riscos.

B

o tratamento e a aceitação de riscos.

C

a estimativa e o tratamento de riscos.

D

a avaliação e o tratamento de riscos.

E

a identificação e a estimativa de riscos.

ISO 27005:2019, seção 8.1, diretrizes de implementação, atividades para o processo de avaliação de riscos: identificação dos riscos, análise de riscos e avaliação de riscos.

O processo de avaliação é composto pelas etapas de identificação dos riscos (descobrir quais são), análise dos riscos (entender a natureza e a magnitude dos riscos) e avaliação dos riscos (determinar a prioridade dos riscos com base na análise).