No contexto da norma internacional ISO/IEC 27005, o processo...

A alternativa correta é B - Comunicação do risco.

A questão aborda o processo de gestão de risco conforme a norma ISO/IEC 27005, que é uma norma internacional que fornece orientações para a gestão de riscos de segurança da informação. Ela define um processo sistemático para identificar, avaliar e tratar riscos, assegurando que as informações da organização sejam protegidas de forma adequada.

A norma especifica oito atividades coordenadas no processo de gestão de risco. As atividades listadas na questão são:

• Definição do contexto
• Identificação de riscos
• Estimativa de riscos
• Avaliação de riscos
• Tratamento do risco
• Aceitação do risco
• Monitoramento e análise crítica de riscos

Faltava identificar a atividade que completa a lista. A alternativa B - Comunicação do risco é a correta porque a comunicação do risco é uma parte essencial do processo de gestão de riscos. Esta atividade garante que todas as partes interessadas estejam cientes dos riscos identificados, das decisões tomadas e das ações executadas. A comunicação eficaz permite uma melhor coordenação e resposta aos riscos.

Vamos analisar as alternativas incorretas:

A - Administração do risco: Embora a administração de risco seja um conceito amplo e importante, a norma ISO/IEC 27005 não a lista como uma atividade específica do processo de gestão de riscos.

C - Eliminação do risco: A eliminação do risco pode ser uma estratégia dentro do tratamento do risco, mas não é considerada uma atividade separada no processo de gestão de risco conforme a norma.

D - Incorporação do risco: Este termo não é utilizado na norma ISO/IEC 27005. A gestão de risco pode incluir aceitar ou tratar riscos, mas "incorporar" não é uma atividade formalmente definida.

E - Responsabilização do risco: A responsabilização pode ser parte da governança de risco, mas não é listada como uma atividade específica no processo de gestão de riscos na norma ISO/IEC 27005.

Espero que essa explicação tenha deixado claro o contexto da norma ISO/IEC 27005 e o motivo pelo qual a alternativa B - Comunicação do risco é a correta. Se tiver mais dúvidas ou precisar de mais esclarecimentos, estarei à disposição para ajudar!

Eu guardo o seguinte mnemônico para o processo de gestão de risco conforme a norma ISO 27005-2011

D efinição de contexto

A valiação de riscos  (IDENTIFIÇÃO DOS RISOS, ANÁLISE DOS RISOS , AVALIAÇÃO DOS RISCOS)

T ratamento de riscos (MORE COM riscos)(é um mnômico de controle de tratamento de riscos.)

A ceitação dos riscos

C omunição ...

M onitoramento . . .

Letra B

https://uploaddeimagens.com.br/imagens/27005-2011-png

Até que em fim, um Mmnimocico para essa desgraça!

D efinição de contexto

A valiação de riscos 

T ratamento de riscos 

E stimativa

C omunição ...

A  ceitação dos riscos

M onitoramento .

I dentificação

Gabarito B

Definição do contexto
 Security needs Identification for Enterprise Assets

Identificação dos Riscos
 Threat Assessment

Análise de riscos
 Asset Valuation
 Threat Assessment
 Vulnerability Assessment
 Enterprise Security Approaches

Avaliação de riscos
 Risk Determination

Tratamento do risco
 Enterprise Security Services

Aceitação do Risco
 Security needs Identification for Enterprise Assets
 Enterprise Security Approaches
 Document the Security Goals

Comunicação do risco
 Enterprise Partner Communication
 Share Responsibility for Security
 Document the Security Goals

Monitoramento e Análise
Crítica de Riscos
 Security Accounting Requirements
 Security Accounting Design
 Audit Requirements
 Audit Design
 Audit Trails & Logging Requirements
 Audit Trails & Logging Design
 Non-Repudiation Requirements
 Non- Repudiation Design
 Documentation Review
 Log Review

"Retroceder Nunca Render-se Jamais !"
Força e Fé !
Fortuna Audaces Sequitur !